BoryptGrab स्टीलर

BoryptGrab एक परिष्कृत मैलवेयर है जो संवेदनशील डेटा को चुराने के लिए डिज़ाइन किया गया है और इसका उद्देश्य असुरक्षित सिस्टमों से डेटा प्राप्त करना है। यह खतरा मुख्य रूप से फर्जी GitHub रिपॉजिटरी और मुफ्त सॉफ्टवेयर टूल का प्रचार करने वाले भ्रामक डाउनलोड पेजों के माध्यम से फैलता है। ये दुर्भावनापूर्ण पेज वैध प्रतीत होने के लिए बनाए गए हैं, जिससे अनजान उपयोगकर्ताओं द्वारा संक्रमित फ़ाइलों को डाउनलोड और चलाने की संभावना बढ़ जाती है।

कुछ खास तरह के हमलों में, BoryptGrab एक अतिरिक्त दुर्भावनापूर्ण घटक TunnesshClient भी भेजता है, जो एक बैकडोर है और संक्रमित डिवाइस तक दूरस्थ पहुंच और उसके आगे के शोषण को सक्षम बनाता है। सिस्टम पर BoryptGrab या इससे संबंधित किसी भी खतरे का पता चलने पर, अतिरिक्त डेटा चोरी या सिस्टम में सेंधमारी को रोकने के लिए इसे तुरंत हटा देना चाहिए।

बचाव तकनीकें और विशेषाधिकार वृद्धि

अपने मुख्य पेलोड को सक्रिय करने से पहले, BoryptGrab सुरक्षा शोधकर्ताओं और स्वचालित विश्लेषण प्रणालियों से बचने के लिए कई जाँचें करता है। यह मैलवेयर सिस्टम फ़ाइलों और कॉन्फ़िगरेशन सेटिंग्स की जाँच करके यह निर्धारित करता है कि क्या यह किसी वर्चुअल मशीन के अंदर चल रहा है। ऐसे वातावरण आमतौर पर सुरक्षा विश्लेषकों द्वारा उपयोग किए जाते हैं, और इनका पता लगाने से मैलवेयर को अपना व्यवहार बदलने या निष्पादन रोकने में मदद मिलती है।

वर्चुअल मशीन का पता लगाने के अलावा, मैलवेयर सक्रिय प्रक्रियाओं को स्कैन करके ज्ञात विश्लेषण या डीबगिंग टूल की पहचान करता है। यदि ये टूल पाए जाते हैं, तो दुर्भावनापूर्ण गतिविधि को दबा दिया जाता है ताकि इसका खुलासा न हो सके। संक्रमण प्रक्रिया का एक और महत्वपूर्ण चरण प्रशासनिक विशेषाधिकार प्राप्त करने का प्रयास है, जिससे मैलवेयर को सिस्टम के सुरक्षित क्षेत्रों तक पहुंच प्राप्त हो जाती है और वह अधिक संवेदनशील जानकारी निकाल सकता है।

ब्राउज़र डेटा संग्रहण क्षमताएँ

BoryptGrab का प्राथमिक उद्देश्य वेब ब्राउज़रों में संग्रहीत संवेदनशील जानकारी एकत्र करना है। यह मैलवेयर ब्रेव ब्राउज़र, सेंटब्राउज़र, क्रोमियम, गूगल क्रोम, माइक्रोसॉफ्ट एज, मोज़िला फ़ायरफ़ॉक्स, ओपेरा, विवाल्डी और यांडेक्स ब्राउज़र सहित कई व्यापक रूप से उपयोग किए जाने वाले ब्राउज़रों को निशाना बनाता है।

इन ब्राउज़रों से निकाली जाने वाली जानकारी में आमतौर पर लॉगिन क्रेडेंशियल, ऑटोफिल डेटा, ब्राउज़िंग हिस्ट्री और अन्य संग्रहित व्यक्तिगत डेटा शामिल होता है। इस प्रक्रिया में सहायता के लिए, BoryptGrab एक विशेष क्रोमियम-आधारित टूल डाउनलोड करता है जो ब्राउज़र डेटा को कुशलतापूर्वक निकालने में सक्षम बनाता है। इससे किसी भी असुरक्षित सिस्टम से चुराई जा सकने वाली जानकारी की मात्रा में काफी वृद्धि होती है।

क्रिप्टोकरेंसी वॉलेट पर हमला

क्रिप्टोकरेंसी संपत्तियां बोरिप्टग्रैब का एक और प्रमुख लक्ष्य हैं। यह मैलवेयर डेस्कटॉप क्रिप्टोकरेंसी वॉलेट और डिजिटल एसेट मैनेजमेंट से जुड़े ब्राउज़र एक्सटेंशन से संबंधित स्थानीय रूप से संग्रहीत डेटा की खोज करता है। वॉलेट डेटा निकालकर, हमलावर संग्रहीत धनराशि तक पहुंच प्राप्त कर सकते हैं या उसे स्थानांतरित कर सकते हैं।

यह मैलवेयर विशेष रूप से वॉलेट एप्लिकेशन और संबंधित सेवाओं की एक विस्तृत श्रृंखला को लक्षित करता है, जिनमें शामिल हैं:

• शस्त्र बटुआ
• परमाणु
• एटॉमिकडेक्स
• बिनेंस
• बिटकॉइन कोर
• बिटपे
• ब्लॉकस्ट्रीम ग्रीन
• चिया वॉलेट
• कॉइनोमी
• सहभुगतान
• डेडलस मेननेट
• डैश कोर
• डॉगकॉइन
• इलेक्ट्रॉन कैश
• एलेक्ट्रम
• इलेक्ट्रमएलटीसी
• Ethereum
• निर्गमन
• ग्रीन एड्रेस
• गार्डा
• जैक्स डेस्कटॉप
• कोमोडो वॉलेट
• लेजर लाइव
• लेजर वॉलेट
• लाइटकॉइन कोर
• MEW डेस्कटॉप
• मल्टीडॉग
• माईईथरवॉलेट
• नाउ वॉलेट
• रेवेन कोर
• स्टेकक्यूब
• ट्रेज़र सूट
• वासाबी वॉलेट

इतनी विस्तृत सूची की मौजूदगी इस बात को उजागर करती है कि मैलवेयर का मुख्य उद्देश्य वित्तीय चोरी करना है।

विस्तारित डेटा संग्रह और डेटा निकासी

ब्राउज़र और क्रिप्टोकरेंसी वॉलेट के अलावा, BoryptGrab संक्रमित सिस्टम से अतिरिक्त डेटा भी इकट्ठा करता है। यह मैलवेयर सामान्य डायरेक्टरी में विशिष्ट एक्सटेंशन वाली फ़ाइलों की खोज करता है जिनमें महत्वपूर्ण जानकारी हो सकती है। मैसेजिंग एप्लिकेशन और अन्य संचार प्लेटफॉर्म भी इसके निशाने पर होते हैं।

इकट्ठा किए गए डेटा में टेलीग्राम फाइलें, सेव किए गए ब्राउज़र पासवर्ड और मैलवेयर के नए वेरिएंट में डिस्कॉर्ड ऑथेंटिकेशन टोकन शामिल हो सकते हैं। डेटा इकट्ठा करने का चरण पूरा होने के बाद, BoryptGrab पीड़ित के डेस्कटॉप का स्क्रीनशॉट लेता है और प्रभावित मशीन के बारे में सामान्य सिस्टम जानकारी संकलित करता है। फिर सभी एकत्रित डेटा को एक आर्काइव में कंप्रेस करके हमलावरों द्वारा नियंत्रित सर्वर पर भेज दिया जाता है।

TunnesshClient बैकडोर: रिमोट कंट्रोल और ट्रैफ़िक टनलिंग

BoryptGrab के कुछ संस्करण TunnesshClient नामक एक अतिरिक्त दुर्भावनापूर्ण टूल का उपयोग करते हैं, हालांकि यह सुविधा सभी संस्करणों में मौजूद नहीं है। TunnesshClient एक पायथन-आधारित बैकडोर है जो हमलावरों को दूरस्थ कमांड निष्पादन क्षमता प्रदान करता है।

इस गुप्त सुरक्षा तंत्र के ज़रिए साइबर अपराधी सीधे संक्रमित सिस्टम को आदेश भेज सकते हैं। यह टूल रिवर्स एसएसएच कनेक्शन के माध्यम से नेटवर्क ट्रैफ़िक फ़ॉरवर्डिंग की सुविधा भी देता है, जिससे हमलावर प्रभावित डिवाइस के ज़रिए इंटरनेट गतिविधि को रूट कर सकते हैं। इस कार्यक्षमता का उपयोग दुर्भावनापूर्ण गतिविधियों को छिपाने, आगे के हमले करने या पीड़ित के नेटवर्क में लंबे समय तक अपनी उपस्थिति बनाए रखने के लिए किया जा सकता है।

बोरीप्टग्रैब संक्रमण के परिणाम

बोरिप्टग्रैब के सफल उल्लंघन से पीड़ितों को गंभीर परिणाम भुगतने पड़ सकते हैं। चोरी की गई जानकारी में अक्सर क्रेडेंशियल, व्यक्तिगत डेटा और क्रिप्टोकरेंसी वॉलेट विवरण शामिल होते हैं, जिनका साइबर अपराधी तुरंत दुरुपयोग कर सकते हैं।

इस तरह के हमले के सामान्य प्रभावों में निम्नलिखित शामिल हैं:

• चोरी हुई क्रिप्टोकरेंसी या वित्तीय खातों के असुरक्षित होने से होने वाले वित्तीय नुकसान
• व्यक्तिगत या प्रमाणीकरण डेटा लीक होने के कारण पहचान की चोरी
• ईमेल, सोशल मीडिया या मैसेजिंग प्लेटफॉर्म जैसे ऑनलाइन खातों को हैक कर लिया गया।
• अतिरिक्त मैलवेयर घटकों के माध्यम से होने वाले द्वितीयक संक्रमण

इन जोखिमों को देखते हुए, आगे होने वाले नुकसान को सीमित करने के लिए संक्रमित उपकरणों से मैलवेयर को तुरंत हटाना आवश्यक है।

संक्रमण का स्रोत: दुर्भावनापूर्ण GitHub पेज और नकली सॉफ़्टवेयर डाउनलोड

BoryptGrab की वितरण रणनीति मुख्य रूप से सोशल इंजीनियरिंग और विश्वसनीय विकास प्लेटफार्मों के हेरफेर पर निर्भर करती है। साइबर अपराधी सार्वजनिक GitHub रिपॉजिटरी बनाते हैं जो वैध सॉफ़्टवेयर परियोजनाओं को होस्ट करने का दिखावा करते हैं। इन रिपॉजिटरी में अक्सर दस्तावेज़, फ़ाइलें और विवरण होते हैं जो असली टूल की नकल करने के लिए डिज़ाइन किए गए होते हैं।

अपनी दृश्यता बढ़ाने के लिए, हमलावर सर्च इंजन ऑप्टिमाइजेशन तकनीकों का उपयोग करके अपने दुर्भावनापूर्ण रिपॉजिटरी और गिटहब पेजों को खोज परिणामों में ऊपर लाते हैं। इसलिए, सॉफ्टवेयर यूटिलिटीज, क्रैक किए गए प्रोग्राम या गेमिंग टूल्स की खोज करने वाले उपयोगकर्ताओं को ये दुर्भावनापूर्ण पेज खोज परिणामों के शीर्ष के पास दिखाई दे सकते हैं।

एक बार रिपॉजिटरी खुलने के बाद, उपयोगकर्ताओं को आमतौर पर एक पेशेवर रूप से डिज़ाइन की गई वेबसाइट पर रीडायरेक्ट कर दिया जाता है जो एक असली सॉफ़्टवेयर डाउनलोड पेज की तरह दिखती है। ये पेज अक्सर गेमिंग चीट्स, क्रैक किए गए प्रोग्राम, FPS बूस्टर या Filmora या Voicemod जैसे एप्लिकेशन को मॉडिफाई या डाउनलोड करने का दावा करने वाली यूटिलिटीज़ का विज्ञापन करते हैं।

यह साइट अंततः एक ज़िप आर्काइव फ़ाइल उपलब्ध कराती है जो सॉफ़्टवेयर इंस्टॉलर होने का दिखावा करती है। जब आर्काइव डाउनलोड हो जाता है और उसमें मौजूद फ़ाइलें चलाई जाती हैं, तो दुर्भावनापूर्ण पेलोड सक्रिय हो जाता है और BoryptGrab संक्रमण प्रक्रिया शुरू हो जाती है।