Preventivo sconto multi-licenza
Database delle minacce Ladri BoryptGrab Stealer

BoryptGrab Stealer

Entro Mezo nel Ladri, Minaccia persistente avanzata (APT)
Traduci in:

BoryptGrab è un sofisticato malware che ruba informazioni, progettato per raccogliere dati sensibili da sistemi compromessi. La minaccia si diffonde principalmente attraverso repository GitHub fraudolenti e pagine di download ingannevoli che promuovono strumenti software gratuiti. Queste pagine dannose sono create per apparire legittime, aumentando la probabilità che utenti ignari scarichino ed eseguano i file infetti.

In alcune catene di attacco, BoryptGrab diffonde anche un componente dannoso aggiuntivo, noto come TunnesshClient, una backdoor che consente l'accesso remoto e l'ulteriore sfruttamento del dispositivo infetto. Una volta rilevato su un sistema, BoryptGrab o qualsiasi minaccia correlata devono essere rimossi immediatamente per prevenire ulteriori furti di dati o compromissioni del sistema.

Tecniche di evasione e escalation dei privilegi

Prima di avviare il suo payload principale, BoryptGrab esegue diversi controlli progettati per eludere i ricercatori di sicurezza e gli ambienti di analisi automatizzati. Il malware esamina i file di sistema e le impostazioni di configurazione per determinare se è in esecuzione all'interno di una macchina virtuale. Tali ambienti sono comunemente utilizzati dagli analisti di sicurezza e il loro rilevamento consente al malware di alterare il proprio comportamento o di interromperne l'esecuzione.

Oltre al rilevamento delle macchine virtuali, il malware analizza i processi attivi per identificare strumenti di analisi o debug noti. Se questi strumenti vengono rilevati, l'attività dannosa può essere bloccata per evitarne l'esposizione. Un altro passaggio importante nel processo di infezione riguarda i tentativi di ottenere privilegi amministrativi, consentendo al malware di accedere ad aree di sistema protette ed estrarre una gamma più ampia di informazioni sensibili.

Capacità di raccolta dati del browser

Uno degli obiettivi principali di BoryptGrab è la raccolta di informazioni sensibili memorizzate nei browser web. Il malware prende di mira numerosi browser ampiamente utilizzati, tra cui Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi e Yandex Browser.

I tipi di informazioni estratte da questi browser includono in genere credenziali di accesso, dati di compilazione automatica, cronologia di navigazione e altri dati personali memorizzati. Per facilitare questo processo, BoryptGrab scarica uno strumento specializzato basato su Chromium che consente l'estrazione efficiente dei dati del browser. Questo aumenta significativamente il volume di informazioni che possono essere rubate da un sistema compromesso.

Portafogli di criptovalute sotto attacco

Le criptovalute sono un altro obiettivo importante di BoryptGrab. Il malware ricerca dati archiviati localmente relativi ai wallet di criptovalute desktop e alle estensioni del browser associate alla gestione degli asset digitali. Estraendo i dati dei wallet, gli aggressori possono accedere ai fondi archiviati o trasferirli.

Il malware prende di mira specificamente un'ampia gamma di applicazioni wallet e servizi correlati, tra cui:

  • Portafoglio Armory
  • Atomico
  • AtomicDEX
  • Binance
  • Bitcoin Core
  • BitPay
  • Blockstream Green
  • Portafoglio Chia
  • Coinomi
  • Copagamento
  • Rete principale di Daedalus
  • Dash Core
  • Dogecoin
  • Contanti elettronici
  • Elettro
  • ElectrumLTC
  • Ethereum
  • Esodo
  • Indirizzo verde
  • Guarda
  • Desktop Jaxx
  • Portafoglio Komodo
  • Ledger Live
  • Portafoglio Ledger
  • Litecoin Core
  • Desktop MEW
  • MultiDoge
  • Il mio portafoglio Ether
  • Portafoglio NOW
  • Nucleo di corvo
  • StakeCube
  • Suite Trezor
  • Portafoglio Wasabi

La presenza di un elenco così ampio evidenzia la forte focalizzazione del malware sul furto finanziario.

Raccolta dati ampliata ed esfiltrazione

Oltre ai browser e ai wallet di criptovalute, BoryptGrab raccoglie dati aggiuntivi dal sistema infetto. Il malware cerca nelle directory comuni file con estensioni specifiche che potrebbero contenere informazioni preziose. Vengono prese di mira anche le applicazioni di messaggistica e altre piattaforme di comunicazione.

I dati raccolti possono includere file di Telegram, password del browser memorizzate e, nelle varianti più recenti del malware, token di autenticazione Discord. Dopo aver completato la fase di raccolta dei dati, BoryptGrab acquisisce uno screenshot del desktop della vittima e compila informazioni di sistema generali sul computer compromesso. Tutti i dati raccolti vengono quindi compressi in un archivio e trasmessi a un server controllato dagli aggressori.

Backdoor TunnesshClient: controllo remoto e tunneling del traffico

Alcune versioni di BoryptGrab implementano un ulteriore strumento dannoso noto come TunnesshClient, sebbene questa funzionalità non sia presente in tutte le varianti. TunnesshClient è una backdoor basata su Python che fornisce agli aggressori la possibilità di eseguire comandi da remoto.

Attraverso questa backdoor, i criminali informatici possono inviare comandi direttamente al sistema infetto. Lo strumento consente inoltre l'inoltro del traffico di rete tramite una connessione SSH inversa, consentendo agli aggressori di instradare l'attività Internet attraverso il dispositivo compromesso. Questa funzionalità può essere utilizzata per nascondere operazioni dannose, condurre ulteriori attacchi o mantenere la persistenza a lungo termine all'interno della rete della vittima.

Conseguenze di un'infezione da BoryptGrab

Una compromissione riuscita di BoryptGrab può avere gravi conseguenze per le vittime. Le informazioni rubate spesso includono credenziali, dati personali e dettagli di wallet di criptovalute, che possono essere immediatamente sfruttati dai criminali informatici.

Gli effetti più comuni di un attacco di questo tipo includono:

  • Perdite finanziarie derivanti dal furto di criptovaluta o dalla compromissione di conti finanziari
  • Furto di identità dovuto alla fuga di dati personali o di autenticazione
  • Account online dirottati come e-mail, social media o piattaforme di messaggistica
  • Infezioni secondarie trasmesse tramite componenti malware aggiuntivi

Considerati questi rischi, è essenziale rimuovere immediatamente il malware dai dispositivi infetti per limitare ulteriori danni.

Vettore di infezione: pagine GitHub dannose e download di software falsi

La strategia di distribuzione di BoryptGrab si basa in larga misura sull'ingegneria sociale e sulla manipolazione di piattaforme di sviluppo affidabili. I criminali informatici creano repository GitHub pubblici che sembrano ospitare progetti software legittimi. Questi repository contengono spesso documentazione, file e descrizioni progettati per imitare strumenti autentici.

Per massimizzare la visibilità, gli aggressori utilizzano tecniche di ottimizzazione per i motori di ricerca (SEO) per posizionare i loro repository dannosi e le loro pagine GitHub più in alto nei risultati di ricerca. Gli utenti che cercano utilità software, programmi craccati o strumenti di gioco potrebbero quindi trovare queste pagine dannose in cima ai risultati di ricerca.

Una volta aperto un repository, gli utenti vengono in genere reindirizzati a un sito web progettato professionalmente che imita una pagina di download di software autentica. Queste pagine pubblicizzano spesso trucchi per videogiochi, programmi craccati, potenziatori di FPS o utility che affermano di modificare o scaricare applicazioni come Filmora o Voicemod.

Il sito fornisce un archivio ZIP che finge di contenere il programma di installazione del software. Quando l'archivio viene scaricato e i file inclusi vengono eseguiti, il payload dannoso viene attivato e inizia il processo di infezione BoryptGrab.

Tendenza

I più visti

Caricamento in corso...