Nuovo malware Infostealer distribuito sul Dark Web
I forum clandestini dell'hacking russo sono sempre stati un terreno fertile per la distribuzione di malware. I ricercatori di sicurezza hanno scoperto solo di recente un nuovo ceppo di malware venduto su uno di questi forum.
Il nuovo malware funge da infostealer e si chiama BlackGuard. Il malware è stato individuato dai ricercatori di sicurezza con la società di sicurezza cloud zScaler. Hanno scoperto che BlackGuard viene venduto come malware come servizio, con gli autori che addebitano una tariffa mensile di $ 200 per il suo utilizzo.
BlackGuard è stato venduto sia come servizio che come acquisto una tantum
Oltre alla tariffa mensile di "abbonamento" per il malware, gli autori offrono anche un acquisto anticipato una tantum di $ 700, dando accesso a vita. Questa sembra una decisione curiosa, visto quanto è costoso l'abbonamento mensile in confronto.
BlackGuard viene fornito con tutte le funzionalità che ti aspetteresti da un infostealer. Può raschiare password, compilare automaticamente i dati dei moduli, la cronologia del browser e i cookie, nonché la cronologia dei messaggi salvata in app come Discord, Telegram ed Element. Il malware è anche in grado di prendere di mira i file del portafoglio contenenti una serie di criptovalute, comprese quelle di Ethereum e Bitcoin.
Secondo zScaler, l'infostealer è ancora in fase di sviluppo attivo, ma vanta già una serie di funzionalità per renderlo più attraente per potenziali affiliati o acquirenti. BlackGuard ha già funzionalità di offuscamento e anti-debugging integrate per rendere più difficile il lavoro dei ricercatori di infosec.
BlackGuard evita obiettivi situati nei paesi della CSI
Non è troppo difficile immaginare quali siano le origini del malware, dato che controlla il paese di origine del sistema su cui atterra e se si tratta della Russia o di una delle ex repubbliche sovietiche, collettivamente indicate come Commonwealth degli Stati Indipendenti, il processo termina semplicemente da solo.
L'infostealer estrae tutti i dati che riesce a trovare sul sistema di destinazione, quindi impacchetta tutto in un file di archivio e invia le informazioni raccolte ai suoi server di comando e controllo, utilizzando le richieste HTTP POST.
Mentre ci sono altri infostealer più ricchi di funzionalità e più popolari là fuori, i ricercatori avvertono che BlackGuard sta guadagnando terreno e dovrebbe essere osservato da vicino perché potrebbe presto diventare una minaccia più pericolosa.