תוכנה זדונית חדשה של Infostealer המופצת ב-Dark Web

פורומים מחתרתיים של פריצה רוסית תמיד היו קרקע פורייה להפצת תוכנות זדוניות. חוקרי אבטחה גילו רק לאחרונה זן חדש של תוכנות זדוניות שנמכרות באחד מאותם פורומים.

התוכנה הזדונית החדשה פועלת כגנב מידע ומכונה BlackGuard . התוכנה הזדונית זוהתה על ידי חוקרי אבטחה עם חברת אבטחת הענן zScaler. הם גילו ש-BlackGuard נמכרת על בסיס תוכנה זדונית כשירות, כאשר המחברים גובים תשלום חודשי של $200 עבור השימוש בו.

BlackGuard נמכר הן כשירות והן כרכישה חד פעמית

בנוסף לדמי ה"הרשמה" החודשיים עבור התוכנה הזדונית, המחברים מציעים גם רכישה חד-פעמית מראש של 700 דולר, המעניקה גישה לכל החיים. זו נראית כמו החלטה מוזרה, בהתחשב כמה יקר המנוי החודשי בהשוואה.

BlackGuard מגיע עם כל הפונקציונליות שהיית מצפה מגנב מידע. זה יכול לגרד סיסמאות, נתוני מילוי אוטומטי של טפסים, היסטוריית דפדפן וקובצי Cookie, כמו גם היסטוריית הודעות שנשמרו באפליקציות כמו Discord, Telegram ו-Element. התוכנה הזדונית מסוגלת גם למקד לקבצי ארנק המכילים מספר מטבעות קריפטוגרפיים, כולל Ethereum וביטקוין.

לפי zScaler, גנב המידע עדיין נמצא בפיתוח פעיל אך הוא כבר מתגאה במספר תכונות כדי להפוך אותו למושך יותר עבור שותפים או קונים פוטנציאליים. ל-BlackGuard כבר מובנות בתוכו יכולות ערפול ואנטי באגים כדי להקשות על חוקר ה-infosec.

BlackGuard נמנע ממטרות הממוקמות במדינות חבר העמים

לא קשה מדי לדמיין מה מקורה של התוכנה הזדונית, בהתחשב בכך שהיא בודקת את ארץ המקור של המערכת שבה היא נוחתת ואם זו רוסיה או אחת מהרפובליקות הסובייטיות לשעבר, המכונה ביחד חבר העמים של מדינות עצמאיות, התהליך פשוט מסתיים מעצמו.

גנב המידע מגרד את כל הנתונים שהוא יכול למצוא במערכת היעד, ואז אורז הכל בקובץ ארכיון ושולח את המידע שנאסף אל שרתי הפיקוד והבקרה שלו, באמצעות בקשות HTTP POST.

בעוד שישנם גונבי מידע אחרים, עשירים יותר בתכונות ופופולריים יותר, חוקרים מזהירים ש-BlackGuard צובר אחיזה ויש לעקוב אחריה מקרוב מכיוון שהוא עלול לגדול לאיום מסוכן יותר בקרוב.