BoryptGrab Stealer

BoryptGrab은 감염된 시스템에서 민감한 데이터를 수집하도록 설계된 정교한 정보 탈취 악성 프로그램입니다. 이 위협은 주로 사기성 GitHub 저장소와 무료 소프트웨어 도구를 홍보하는 것처럼 위장한 다운로드 페이지를 통해 확산됩니다. 이러한 악성 페이지는 합법적인 것처럼 보이도록 제작되어, 의심하지 않는 사용자가 감염된 파일을 다운로드하고 실행할 가능성을 높입니다.

특정 공격 과정에서 BoryptGrab은 TunnesshClient라는 추가적인 악성 구성 요소를 함께 전달하는데, 이는 감염된 장치에 원격으로 접근하여 추가적인 악용을 가능하게 하는 백도어입니다. 시스템에서 BoryptGrab 또는 관련 위협이 발견되면 추가적인 데이터 유출이나 시스템 손상을 방지하기 위해 즉시 제거해야 합니다.

회피 기법 및 권한 상승

보립트그랩(BoryptGrab)은 주요 페이로드를 실행하기 전에 보안 연구원과 자동화된 분석 환경을 회피하기 위한 여러 가지 검사를 수행합니다. 이 멀웨어는 시스템 파일과 구성 설정을 검사하여 가상 머신 내에서 실행 중인지 여부를 확인합니다. 이러한 환경은 보안 분석가들이 흔히 사용하는 환경이며, 가상 머신이 감지되면 멀웨어는 동작을 변경하거나 실행을 중단할 수 있습니다.

가상 머신 탐지 외에도, 이 악성 프로그램은 활성 프로세스를 스캔하여 알려진 분석 또는 디버깅 도구를 식별합니다. 이러한 도구가 탐지되면 노출을 방지하기 위해 악성 활동이 차단될 수 있습니다. 감염 과정에서 또 다른 중요한 단계는 관리자 권한을 획득하려는 시도입니다. 이를 통해 악성 프로그램은 보호된 시스템 영역에 접근하여 더 광범위한 민감한 정보를 추출할 수 있습니다.

브라우저 데이터 수집 기능

BoryptGrab의 주요 목표는 웹 브라우저에 저장된 민감한 정보를 수집하는 것입니다. 이 악성 프로그램은 Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi, Yandex Browser 등 널리 사용되는 여러 브라우저를 대상으로 합니다.

이러한 브라우저에서 추출되는 정보 유형에는 일반적으로 로그인 자격 증명, 자동 완성 데이터, 검색 기록 및 기타 저장된 개인 데이터가 포함됩니다. 이 과정을 지원하기 위해 BoryptGrab은 브라우저 데이터를 효율적으로 추출할 수 있는 특수 Chromium 기반 도구를 다운로드합니다. 이는 해킹된 시스템에서 탈취할 수 있는 정보의 양을 크게 증가시킵니다.

암호화폐 지갑이 공격받고 있습니다

보립트그랩(BoryptGrab)의 주요 공격 대상 중 하나는 암호화폐 자산입니다. 이 악성 프로그램은 데스크톱 암호화폐 지갑 및 디지털 자산 관리와 관련된 브라우저 확장 프로그램에 저장된 데이터를 검색합니다. 지갑 데이터를 추출함으로써 공격자는 저장된 자금에 접근하거나 이를 이체할 수 있습니다.

이 악성 소프트웨어는 특히 다음과 같은 다양한 지갑 애플리케이션 및 관련 서비스를 표적으로 삼습니다.

• 아머리 월렛
• 원자
• 아토믹덱스
• 바이낸스
• 비트코인 코어
• 비트페이
• 블록스트림 그린
• 치아 월렛
• 코이노미
• 본인부담금
• 다이달러스 메인넷
• 대시 코어
• 도지코인
• 전자 현금
• 일렉트럼
• 일렉트럼LTC
• 이더리움
• 이동
• 그린어드레서
• 가르다
• Jaxx 데스크톱
• 코모도 월렛
• 레저 라이브
• 레저 월렛
• 라이트코인 코어
• MEW 데스크탑
• 멀티도지
• 마이이더월렛
• 나우 월렛
• 레이븐 코어
• 스테이크큐브
• 트레저 스위트
• 와사비 지갑

이처럼 광범위한 목록의 존재는 해당 악성 소프트웨어가 금전적 절도에 매우 집중하고 있음을 보여줍니다.

데이터 수집 및 유출 확장

보립트그랩(BoryptGrab)은 브라우저와 암호화폐 지갑 외에도 감염된 시스템에서 추가 데이터를 수집합니다. 이 악성 프로그램은 일반적인 디렉터리에서 특정 확장자를 가진 파일 중 유용한 정보가 포함될 가능성이 있는 파일을 검색합니다. 메시징 애플리케이션 및 기타 통신 플랫폼도 공격 대상이 됩니다.

수집된 데이터에는 텔레그램 파일, 저장된 브라우저 비밀번호, 그리고 악성코드의 최신 변종에는 디스코드 인증 토큰이 포함될 수 있습니다. 데이터 수집이 완료되면 BoryptGrab은 피해자의 데스크톱 화면을 캡처하고 감염된 시스템에 대한 일반적인 시스템 정보를 수집합니다. 수집된 모든 데이터는 압축되어 아카이브 파일로 저장되고 공격자가 제어하는 서버로 전송됩니다.

TunnesshClient 백도어: 원격 제어 및 트래픽 터널링

일부 BoryptGrab 버전에는 TunnesshClient라는 추가 악성 도구가 포함되어 있지만, 모든 변종에 이 기능이 있는 것은 아닙니다. TunnesshClient는 공격자에게 원격 명령 실행 기능을 제공하는 Python 기반 백도어입니다.

이 백도어를 통해 사이버 범죄자는 감염된 시스템에 직접 명령을 내릴 수 있습니다. 또한 이 도구는 역방향 SSH 연결을 통해 네트워크 트래픽 포워딩을 허용하여 공격자가 감염된 장치를 통해 인터넷 활동을 라우팅할 수 있도록 합니다. 이러한 기능은 악의적인 작업을 숨기거나, 추가 공격을 수행하거나, 피해자의 네트워크 내에서 장기간 지속성을 유지하는 데 사용될 수 있습니다.

보립트그랩 감염의 결과

보립트그랩(BoryptGrab) 해킹에 성공하면 피해자는 심각한 결과를 맞을 수 있습니다. 도난당한 정보에는 자격 증명, 개인 데이터, 암호화폐 지갑 정보 등이 포함되는 경우가 많으며, 사이버 범죄자들은 이러한 정보를 즉시 악용할 수 있습니다.

이러한 공격의 일반적인 영향은 다음과 같습니다.

• 도난당한 암호화폐 또는 해킹된 금융 계정으로 인한 금전적 손실
• 개인 정보 또는 인증 정보 유출로 인한 신분 도용
• 이메일, 소셜 미디어 또는 메시징 플랫폼과 같은 온라인 계정이 해킹당했습니다.
• 추가 악성코드 구성 요소를 통해 전달되는 2차 감염

이러한 위험성을 고려할 때, 추가적인 피해를 최소화하기 위해서는 감염된 기기에서 악성 소프트웨어를 즉시 제거하는 것이 필수적입니다.

감염 경로: 악성 GitHub 페이지 및 가짜 소프트웨어 다운로드

BoryptGrab의 배포 전략은 사회 공학적 기법과 신뢰할 수 있는 개발 플랫폼 조작에 크게 의존합니다. 사이버 범죄자들은 합법적인 소프트웨어 프로젝트처럼 보이는 공개 GitHub 저장소를 생성합니다. 이러한 저장소에는 종종 실제 도구를 모방하도록 설계된 문서, 파일 및 설명이 포함되어 있습니다.

공격자들은 가시성을 극대화하기 위해 검색 엔진 최적화(SEO) 기술을 사용하여 악성 저장소와 GitHub Pages를 검색 결과 상위에 노출시킵니다. 따라서 소프트웨어 유틸리티, 크랙 프로그램 또는 게임 도구를 검색하는 사용자는 검색 결과 상단에서 이러한 악성 페이지를 접할 수 있습니다.

해당 저장소를 열면 사용자는 일반적으로 실제 소프트웨어 다운로드 페이지를 모방한 전문적으로 디자인된 웹사이트로 리디렉션됩니다. 이러한 페이지는 게임 치트, 크랙 프로그램, FPS 부스터 또는 Filmora나 Voicemod와 같은 애플리케이션을 수정하거나 다운로드한다고 주장하는 유틸리티를 광고하는 경우가 많습니다.

해당 사이트는 최종적으로 소프트웨어 설치 프로그램이 들어 있는 것처럼 위장한 ZIP 압축 파일을 제공합니다. 이 압축 파일을 다운로드하고 포함된 파일을 실행하면 악성 페이로드가 활성화되어 BoryptGrab 감염 과정이 시작됩니다.