Ponuda s popustom na više licenci
Baza prijetnji kradljivci BoryptGrab kradljivac

BoryptGrab kradljivac

Do Mezo. kradljivci, Napredna trajna prijetnja (APT). godine
Prevedi na:

BoryptGrab je sofisticirani zlonamjerni softver za krađu informacija, dizajniran za prikupljanje osjetljivih podataka iz kompromitiranih sustava. Prijetnja se prvenstveno širi putem lažnih GitHub repozitorija i obmanjujućih stranica za preuzimanje koje promoviraju besplatne softverske alate. Ove zlonamjerne stranice izrađene su tako da izgledaju legitimno, povećavajući vjerojatnost da će nesuđeni korisnici preuzeti i pokrenuti zaražene datoteke.

U određenim lancima napada, BoryptGrab također isporučuje dodatnu zlonamjernu komponentu poznatu kao TunnesshClient, backdoor koji omogućuje udaljeni pristup i daljnje iskorištavanje zaraženog uređaja. Nakon što se otkrije na sustavu, BoryptGrab ili bilo koja povezana prijetnja moraju se odmah ukloniti kako bi se spriječila daljnja krađa podataka ili kompromitiranje sustava.

Tehnike izbjegavanja i eskalacija privilegija

Prije pokretanja svog glavnog sadržaja, BoryptGrab provodi nekoliko provjera osmišljenih kako bi izbjegao sigurnosne istraživače i automatizirana analitička okruženja. Zlonamjerni softver pregledava sistemske datoteke i postavke konfiguracije kako bi utvrdio izvršava li se unutar virtualnog stroja. Takva okruženja obično koriste sigurnosni analitičari, a njihovo otkrivanje omogućuje zlonamjernom softveru da promijeni svoje ponašanje ili zaustavi izvršavanje.

Osim otkrivanja virtualnih strojeva, zlonamjerni softver skenira aktivne procese kako bi identificirao poznate alate za analizu ili otklanjanje pogrešaka. Ako se ti alati otkriju, zlonamjerna aktivnost može se suzbiti kako bi se izbjegla izloženost. Drugi važan korak u procesu zaraze uključuje pokušaje dobivanja administratorskih privilegija, što zlonamjernom softveru omogućuje pristup zaštićenim područjima sustava i izdvajanje šireg raspona osjetljivih informacija.

Mogućnosti prikupljanja podataka preglednika

Primarni cilj BoryptGraba je prikupljanje osjetljivih informacija pohranjenih u web preglednicima. Zlonamjerni softver cilja brojne široko korištene preglednike, uključujući Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Operu, Vivaldi i Yandex Browser.

Vrste informacija izvučenih iz ovih preglednika obično uključuju podatke za prijavu, podatke za automatsko popunjavanje, povijest pregledavanja i druge pohranjene osobne podatke. Kako bi pomogao u tom procesu, BoryptGrab preuzima specijalizirani alat temeljen na Chromiumu koji omogućuje učinkovito izvlačenje podataka preglednika. To značajno povećava količinu informacija koje se mogu ukrasti iz kompromitiranog sustava.

Napad na kriptovalutne novčanike

Kriptovalutna imovina je još jedna glavna meta BoryptGraba. Zlonamjerni softver traži lokalno pohranjene podatke povezane s kriptovalutnim novčanicima za stolna računala i proširenjima preglednika povezanim s upravljanjem digitalnom imovinom. Izdvajanjem podataka o novčaniku, napadači mogu dobiti mogućnost pristupa ili prijenosa pohranjenih sredstava.

Zlonamjerni softver posebno cilja širok raspon aplikacija za novčanike i povezanih usluga, uključujući:

  • Armory novčanik
  • Atomski
  • AtomicDEX
  • Binance
  • Bitcoin jezgra
  • BitPay
  • Blockstream Green
  • Chia novčanik
  • Coinomi
  • Doplata
  • Daedalus Mainnet
  • Jezgra Dash-a
  • Dogecoin
  • Elektronska gotovina
  • Elektrum
  • ElectrumLTC
  • Ethereum
  • Izlazak
  • Zelena adresa
  • Guarda
  • Jaxx Desktop
  • Komodo novčanik
  • Ledger uživo
  • Ledger novčanik
  • Litecoin Core
  • MEW Desktop
  • Višestruki pas
  • MojEtherNovčanik
  • NOW novčanik
  • Raven Core
  • StakeCube
  • Trezor apartman
  • Wasabi novčanik

Prisutnost tako opsežnog popisa naglašava snažan fokus zlonamjernog softvera na financijsku krađu.

Prošireno prikupljanje i eksfiltracija podataka

Osim preglednika i kriptovaluta novčanika, BoryptGrab prikuplja dodatne podatke sa zaraženog sustava. Zlonamjerni softver pretražuje uobičajene direktorije za datoteke sa specifičnim ekstenzijama koje mogu sadržavati vrijedne informacije. Ciljane su i aplikacije za razmjenu poruka i druge komunikacijske platforme.

Prikupljeni podaci mogu uključivati Telegram datoteke, pohranjene lozinke preglednika i, u novijim varijantama zlonamjernog softvera, Discord tokene za autentifikaciju. Nakon završetka faze prikupljanja podataka, BoryptGrab snima snimku zaslona radne površine žrtve i prikuplja opće informacije o sustavu kompromitiranog računala. Svi prikupljeni podaci zatim se komprimiraju u arhivu i prenose na poslužitelj kojim upravljaju napadači.

TunnesshClient Backdoor: Daljinsko upravljanje i tuneliranje prometa

Neke verzije BoryptGraba koriste dodatni zlonamjerni alat poznat kao TunnesshClient, iako ta značajka nije prisutna u svakoj varijanti. TunnesshClient je backdoor temeljen na Pythonu koji napadačima pruža mogućnosti daljinskog izvršavanja naredbi.

Kroz ovaj backdoor, kibernetički kriminalci mogu izdavati naredbe izravno zaraženom sustavu. Alat također omogućuje prosljeđivanje mrežnog prometa putem obrnute SSH veze, što napadačima omogućuje usmjeravanje internetske aktivnosti kroz kompromitirani uređaj. Ova funkcionalnost može se koristiti za skrivanje zlonamjernih operacija, provođenje daljnjih napada ili održavanje dugoročne prisutnosti unutar mreže žrtve.

Posljedice infekcije BoryptGrabom

Uspješna kompromitacija BoryptGrab-a može dovesti do ozbiljnih posljedica za žrtve. Ukradene informacije često uključuju vjerodajnice, osobne podatke i detalje o kriptovalutnim novčanicima, koje kibernetički kriminalci mogu odmah iskoristiti.

Uobičajene posljedice takvog napada uključuju:

  • Financijski gubici nastali zbog ukradene kriptovalute ili kompromitiranih financijskih računa
  • Krađa identiteta zbog curenja osobnih ili autentifikacijskih podataka
  • Oteti online računi poput e-pošte, društvenih mreža ili platformi za razmjenu poruka
  • Sekundarne infekcije uzrokovane dodatnim komponentama zlonamjernog softvera

S obzirom na ove rizike, trenutno uklanjanje zlonamjernog softvera sa zaraženih uređaja ključno je za ograničavanje daljnje štete.

Vektor zaraze: Zlonamjerne GitHub stranice i preuzimanja lažnog softvera

Strategija distribucije koja stoji iza BoryptGraba uvelike se oslanja na društveni inženjering i manipulaciju pouzdanim razvojnim platformama. Kibernetički kriminalci stvaraju javne GitHub repozitorije koje izgledaju kao da sadrže legitimne softverske projekte. Ove repozitorije često sadrže dokumentaciju, datoteke i opise osmišljene da oponašaju autentične alate.

Kako bi maksimizirali vidljivost, napadači koriste tehnike optimizacije za tražilice kako bi svoje zlonamjerne repozitorije i GitHub stranice postavili više u rezultatima pretraživanja. Korisnici koji traže softverske uslužne programe, crackirane programe ili alate za igre stoga mogu naići na te zlonamjerne stranice pri vrhu rezultata pretraživanja.

Nakon što se otvori repozitorij, korisnici se obično preusmjeravaju na profesionalno dizajniranu web stranicu koja imitira autentičnu stranicu za preuzimanje softvera. Ove stranice često oglašavaju varalice za igre, crackirane programe, FPS boostere ili uslužne programe koji tvrde da mijenjaju ili preuzimaju aplikacije poput Filmore ili Voicemoda.

Stranica u konačnici nudi ZIP arhivu koja se pretvara da sadrži instalacijski program softvera. Kada se arhiva preuzme i uključene datoteke izvrše, aktivira se zlonamjerni sadržaj i započinje proces zaraze BoryptGrabom.

U trendu

Nagledanije

Učitavam...