BoryptGrab Lopakodó
A BoryptGrab egy kifinomult, információkat ellopó rosszindulatú program, amelynek célja, hogy érzékeny adatokat gyűjtsön feltört rendszerekből. A fenyegetés elsősorban csalárd GitHub-tárházakon és megtévesztő letöltőoldalakon keresztül terjed, amelyek ingyenes szoftvereszközöket népszerűsítenek. Ezek a rosszindulatú oldalak úgy vannak kialakítva, hogy legitimnek tűnjenek, növelve annak valószínűségét, hogy a gyanútlan felhasználók letöltsék és végrehajtsák a fertőzött fájlokat.
Bizonyos támadási láncokban a BoryptGrab egy további rosszindulatú komponenst is telepít, a TunnesshClient-et, egy hátsó ajtót, amely lehetővé teszi a fertőzött eszköz távoli elérését és további kihasználását. A rendszeren történő észlelés után a BoryptGrab-ot vagy bármely kapcsolódó fenyegetést azonnal el kell távolítani a további adatlopás vagy rendszerbiztonsági károsodás megelőzése érdekében.
Tartalomjegyzék
Kijátszási technikák és privilégiumok eszkalációja
Mielőtt elindítaná fő hasznos programját, a BoryptGrab számos ellenőrzést hajt végre, amelyek célja a biztonsági kutatók és az automatizált elemző környezetek megkerülése. A rosszindulatú program megvizsgálja a rendszerfájlokat és a konfigurációs beállításokat annak megállapítására, hogy virtuális gépen fut-e. Az ilyen környezeteket gyakran használják a biztonsági elemzők, és észlelésük lehetővé teszi a rosszindulatú program számára, hogy megváltoztassa a viselkedését vagy leállítsa a végrehajtását.
A virtuális gépek észlelése mellett a rosszindulatú program aktív folyamatokat is átvizsgál, hogy azonosítsa az ismert elemző vagy hibakereső eszközöket. Ha ezeket az eszközöket észleli, a rosszindulatú tevékenység elnyomható a fertőzés elkerülése érdekében. A fertőzési folyamat egy másik fontos lépése a rendszergazdai jogosultságok megszerzésére tett kísérletek, amelyek lehetővé teszik a rosszindulatú program számára, hogy hozzáférjen a védett rendszerterületekhez, és szélesebb körű érzékeny információkat nyerjen ki.
Böngésző adatgyűjtési képességei
A BoryptGrab elsődleges célja a webböngészőkben tárolt érzékeny információk gyűjtése. A rosszindulatú program számos széles körben használt böngészőt céloz meg, beleértve a Brave Browsert, a CentBrowsert, a Chromiumot, a Google Chrome-ot, a Microsoft Edge-et, a Mozilla Firefoxot, az Operát, a Vivaldit és a Yandex Browsert.
Az ezekből a böngészőkből kinyert információk jellemzően bejelentkezési adatokat, automatikus kitöltési adatokat, böngészési előzményeket és egyéb tárolt személyes adatokat tartalmaznak. A folyamat elősegítése érdekében a BoryptGrab letölt egy speciális Chromium-alapú eszközt, amely lehetővé teszi a böngészési adatok hatékony kinyerését. Ez jelentősen növeli a feltört rendszerből ellopható információk mennyiségét.
Kriptovaluta tárcák támadás alatt
A kriptovaluta eszközök a BoryptGrab másik fő célpontjai. A rosszindulatú program a digitális eszközkezeléshez kapcsolódó asztali kriptovaluta-tárcákhoz és böngészőbővítményekhez kapcsolódó helyben tárolt adatokat keres. A tárcaadatok kinyerésével a támadók hozzáférhetnek a tárolt pénzeszközökhöz, vagy átutalhatják azokat.
A rosszindulatú program kifejezetten a pénztárca-alkalmazások és a kapcsolódó szolgáltatások széles skáláját célozza meg, beleértve a következőket:
- Fegyvertárca
- Atom
- AtomicDEX
- Binance
- Bitcoin Core
- BitPay
- Blockstream Green
- Chia pénztárca
- Coinomi
- Költségvetés
- Daedalus főhálózat
- Műszerfal mag
- Dogecoin
- Elektronikus készpénz
- Elektrum
- ElectrumLTC
- Ethereum
- Kivonulás
- GreenCím
- Guarda
- Jaxx asztali számítógép
- Komodo pénztárca
- Ledger Élő
- Főkönyvi pénztárca
- Litecoin Core
- MEW asztali
- MultiDoge
- MyEtherWallet
- MOST Pénztárca
- Raven Core
- Tétkocka
- Trezor lakosztály
- Wasabi pénztárca
Egy ilyen kiterjedt lista megléte rávilágít a rosszindulatú programok erős pénzügyi lopásokra való összpontosítására.
Bővített adatgyűjtés és -kiszivárgás
A böngészőkön és a kriptovaluta-tárcákon túl a BoryptGrab további adatokat is gyűjt a fertőzött rendszerről. A rosszindulatú program megosztott könyvtárakban keres olyan fájlokat, amelyek meghatározott kiterjesztéssel rendelkeznek, és értékes információkat tartalmazhatnak. Üzenetküldő alkalmazásokat és más kommunikációs platformokat is célba vesz.
A gyűjtött adatok tartalmazhatnak Telegram fájlokat, tárolt böngészőjelszavakat és a rosszindulatú program újabb változataiban Discord hitelesítési tokeneket. Az adatgyűjtési fázis befejezése után a BoryptGrab képernyőképet készít az áldozat asztaláról, és általános rendszerinformációkat gyűjt a megtámadott gépről. Az összes gyűjtött adatot ezután egy archívumba tömöríti, és továbbítja a támadók által ellenőrzött szerverre.
TunnesshClient hátsó ajtó: Távoli vezérlés és forgalmi alagútkezelés
A BoryptGrab egyes verziói egy további rosszindulatú eszközt, a TunnesshClient-et telepítik, bár ez a funkció nem minden változatban található meg. A TunnesshClient egy Python-alapú hátsó ajtó, amely távoli parancsfuttatási lehetőségeket biztosít a támadóknak.
Ezen a hátsó ajtón keresztül a kiberbűnözők közvetlenül a fertőzött rendszernek adhatnak ki parancsokat. Az eszköz lehetővé teszi a hálózati forgalom továbbítását fordított SSH-kapcsolaton keresztül is, lehetővé téve a támadók számára, hogy az internetes tevékenységet a feltört eszközön keresztül irányítsák. Ez a funkció felhasználható rosszindulatú műveletek elrejtésére, további támadások végrehajtására vagy az áldozat hálózatán belüli hosszú távú fennmaradás fenntartására.
A BoryptGrab fertőzés következményei
A BoryptGrab sikeres feltörése súlyos következményekkel járhat az áldozatok számára. Az ellopott információk gyakran tartalmaznak hitelesítő adatokat, személyes adatokat és kriptovaluta-tárca adatokat, amelyeket a kiberbűnözők azonnal kihasználhatnak.
Az ilyen támadások gyakori következményei a következők:
- Ellopott kriptovalutákból vagy feltört pénzügyi számlákból eredő pénzügyi veszteségek
- Személyazonosság-lopás kiszivárgott személyes vagy hitelesítési adatok miatt
- Feltört online fiókok, például e-mail, közösségi média vagy üzenetküldő platformok
- Másodlagos fertőzések további kártevő-összetevőkön keresztül
Tekintettel ezekre a kockázatokra, a további károk korlátozása érdekében elengedhetetlen a kártevő azonnali eltávolítása a fertőzött eszközökről.
Fertőzésvektor: Rosszindulatú GitHub oldalak és hamis szoftverletöltések
A BoryptGrab mögött álló terjesztési stratégia nagymértékben a társadalmi manipulációra és a megbízható fejlesztői platformok manipulálására épül. A kiberbűnözők nyilvános GitHub-tárhelyeket hoznak létre, amelyek látszólag legitim szoftverprojekteket tárolnak. Ezek a tárhelyek gyakran tartalmaznak dokumentációkat, fájlokat és leírásokat, amelyek célja a hiteles eszközök utánzása.
A láthatóság maximalizálása érdekében a támadók keresőoptimalizálási technikákat alkalmaznak, hogy rosszindulatú adattáraikat és GitHub-oldalaikat a keresési eredmények között előrébb helyezzék. A szoftvereszközöket, feltört programokat vagy játékeszközöket kereső felhasználók ezért a keresési eredmények tetején találkozhatnak ezekkel a rosszindulatú oldalakkal.
Miután megnyitnak egy tárhelyet, a felhasználókat jellemzően egy professzionálisan megtervezett weboldalra irányítják át, amely egy eredeti szoftverletöltő oldalt utánoz. Ezek az oldalak gyakran hirdetnek játékcsalásokat, feltört programokat, FPS-növelőket vagy olyan segédprogramokat, amelyek azt állítják, hogy módosítják vagy letöltik az olyan alkalmazásokat, mint a Filmora vagy a Voicemod.
A webhely végső soron egy ZIP archívumot kínál, amely úgy tesz, mintha a szoftvertelepítőt tartalmazná. Amikor az archívum letöltődik és a benne található fájlok végrehajtódnak, a rosszindulatú program aktiválódik, és megkezdődik a BoryptGrab fertőzési folyamata.
