Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Vogtininkai BoryptGrab vagys

BoryptGrab vagys

Autorius Mezo, Vogtininkai, Išplėstinė nuolatinė grėsmė (APT)
Versti į:

„BoryptGrab“ yra sudėtinga informaciją vagianti kenkėjiška programa, skirta rinkti slaptus duomenis iš pažeistų sistemų. Grėsmė daugiausia plinta per apgaulingas „GitHub“ saugyklas ir klaidinančius atsisiuntimo puslapius, kuriuose reklamuojami nemokami programinės įrangos įrankiai. Šie kenkėjiški puslapiai sukurti taip, kad atrodytų teisėti, todėl padidėja tikimybė, kad nieko neįtariantys vartotojai atsisiųs ir paleis užkrėstus failus.

Tam tikrose atakų grandinėse „BoryptGrab“ taip pat pateikia papildomą kenkėjišką komponentą, vadinamą „TunnesshClient“ – galines duris, leidžiančias nuotoliniu būdu pasiekti užkrėstą įrenginį ir toliau juo pasinaudoti. Aptikus sistemoje, „BoryptGrab“ ar bet kokia susijusi grėsmė turi būti nedelsiant pašalinta, kad būtų išvengta tolesnės duomenų vagystės ar sistemos pažeidimo.

Slaptavimo metodai ir privilegijų eskalavimas

Prieš paleisdama pagrindinę savo veiklą, „BoryptGrab“ atlieka keletą patikrinimų, skirtų apeiti saugumo tyrėjus ir automatinės analizės aplinkas. Kenkėjiška programa tikrina sistemos failus ir konfigūracijos nustatymus, kad nustatytų, ar ji veikia virtualioje mašinoje. Tokias aplinkas dažniausiai naudoja saugumo analitikai, o jas aptikusi kenkėjiška programa gali pakeisti savo elgesį arba sustabdyti vykdymą.

Be virtualių mašinų aptikimo, kenkėjiška programa nuskaito aktyvius procesus, kad nustatytų žinomas analizės ar derinimo priemones. Jei šios priemonės aptinkamos, kenkėjiška veikla gali būti slopinama, siekiant išvengti užsikrėtimo. Kitas svarbus užkrėtimo proceso žingsnis yra bandymai gauti administratoriaus teises, leidžiančias kenkėjiškai programai pasiekti apsaugotas sistemos sritis ir išgauti platesnį spektrą neskelbtinos informacijos.

Naršyklės duomenų rinkimo galimybės

Pagrindinis „BoryptGrab“ tikslas – rinkti neskelbtiną informaciją, saugomą interneto naršyklėse. Kenkėjiška programa taikosi į daugybę plačiai naudojamų naršyklių, įskaitant „Brave Browser“, „CentBrowser“, „Chromium“, „Google Chrome“, „Microsoft Edge“, „Mozilla Firefox“, „Opera“, „Vivaldi“ ir „Yandex Browser“.

Iš šių naršyklių paprastai išgaunama prisijungimo informacija, automatinio pildymo duomenys, naršymo istorija ir kiti saugomi asmens duomenys. Kad padėtų šiame procese, „BoryptGrab“ atsisiunčia specializuotą „Chromium“ pagrindu sukurtą įrankį, kuris leidžia efektyviai išgauti naršyklės duomenis. Tai žymiai padidina informacijos, kuri gali būti pavogta iš pažeistos sistemos, kiekį.

Kriptovaliutų piniginės puolamos

Kriptovaliutų turtas yra dar vienas pagrindinis „BoryptGrab“ taikinys. Kenkėjiška programa ieško lokaliai saugomų duomenų, susijusių su darbalaukio kriptovaliutų piniginėmis ir naršyklės plėtiniais, susijusiais su skaitmeninio turto valdymu. Išgavę piniginės duomenis, užpuolikai gali gauti prieigą prie saugomų lėšų arba jas pervesti.

Kenkėjiška programa konkrečiai nukreipta į įvairias piniginės programas ir susijusias paslaugas, įskaitant:

  • Arsenalo piniginė
  • Atominis
  • AtomicDEX
  • Binance
  • Bitcoin Core
  • BitPay
  • Blockstream Green
  • Chia piniginė
  • Coinomi
  • Kopinis mokėjimas
  • Daedalus pagrindinis tinklas
  • Dash Core
  • Dogecoin
  • Elektroniniai pinigai
  • Elektrumas
  • ElectrumLTC
  • Ethereum
  • Išėjimas
  • Žalias adresas
  • Guarda
  • Jaxx Desktop
  • Komodo piniginė
  • „Ledger Live“
  • „Ledger“ piniginė
  • Litecoin branduolys
  • MEW darbalaukis
  • MultiDoge
  • ManoEterioPiniginė
  • DABAR Piniginė
  • Raven Core
  • „StakeCube“
  • Trezor liukso numeris
  • Vasabių piniginė

Toks išsamus sąrašas pabrėžia didelį kenkėjiškų programų dėmesį finansinėms vagystėms.

Išplėstinis duomenų rinkimas ir išgavimas

Be naršyklių ir kriptovaliutų piniginių, „BoryptGrab“ renka papildomus duomenis iš užkrėstos sistemos. Kenkėjiška programa ieško bendruose kataloguose failų su konkrečiais plėtiniais, kuriuose gali būti vertingos informacijos. Taip pat taikosi į pranešimų programas ir kitas komunikacijos platformas.

Surinkti duomenys gali apimti „Telegram“ failus, saugomus naršyklės slaptažodžius ir, naujesniuose kenkėjiškos programos variantuose, „Discord“ autentifikavimo žetonus. Baigęs duomenų rinkimo etapą, „BoryptGrab“ nukopijuoja aukos darbalaukio ekraną ir surenka bendrą sistemos informaciją apie pažeistą kompiuterį. Visi surinkti duomenys suspaudžiami į archyvą ir perduodami užpuolikų kontroliuojamam serveriui.

„TunnesshClient Backdoor“: nuotolinis valdymas ir eismo tuneliavimas

Kai kuriose „BoryptGrab“ versijose diegiamas papildomas kenkėjiškas įrankis, vadinamas „TunnesshClient“, nors ši funkcija yra ne visuose variantuose. „TunnesshClient“ yra „Python“ pagrindu sukurta galinė durų programa, suteikianti užpuolikams nuotolinio komandų vykdymo galimybes.

Per šias užpakalines duris kibernetiniai nusikaltėliai gali tiesiogiai siųsti komandas užkrėstai sistemai. Įrankis taip pat leidžia peradresuoti tinklo srautą atvirkštiniu SSH ryšiu, leisdamas užpuolikams nukreipti interneto veiklą per pažeistą įrenginį. Ši funkcija gali būti naudojama kenkėjiškoms operacijoms slėpti, tolesnėms atakoms vykdyti arba ilgalaikiam įsilaužimui aukos tinkle palaikyti.

„BoryptGrab“ infekcijos pasekmės

Sėkmingas „BoryptGrab“ atakos rezultatas gali turėti rimtų pasekmių aukoms. Pavogta informacija dažnai apima prisijungimo duomenis, asmens duomenis ir kriptovaliutos piniginės informaciją, kuria kibernetiniai nusikaltėliai gali nedelsdami pasinaudoti.

Dažnas tokio išpuolio poveikis yra:

  • Finansiniai nuostoliai, patirti dėl pavogtos kriptovaliutos ar pažeistų finansinių sąskaitų
  • Tapatybės vagystė dėl nutekėjusių asmens ar autentifikavimo duomenų
  • Užgrobtos internetinės paskyros, tokios kaip el. paštas, socialinė žiniasklaida ar susirašinėjimo platformos
  • Antrinės infekcijos, perduodamos per papildomus kenkėjiškų programų komponentus

Atsižvelgiant į šias rizikas, būtina nedelsiant pašalinti kenkėjiškas programas iš užkrėstų įrenginių, kad būtų apribota tolesnė žala.

Užkrato vektorius: kenkėjiški „GitHub“ puslapiai ir netikrų programų atsisiuntimai

„BoryptGrab“ platinimo strategija labai priklauso nuo socialinės inžinerijos ir patikimų kūrimo platformų manipuliavimo. Kibernetiniai nusikaltėliai kuria viešas „GitHub“ saugyklas, kuriose, atrodo, talpinami teisėti programinės įrangos projektai. Šiose saugyklose dažnai saugoma dokumentacija, failai ir aprašymai, sukurti taip, kad imituotų autentiškus įrankius.

Siekdami maksimaliai padidinti matomumą, užpuolikai naudoja paieškos sistemų optimizavimo metodus, kad jų kenkėjiškos saugyklos ir „GitHub“ puslapiai būtų iškelti aukščiau paieškos rezultatuose. Todėl vartotojai, ieškantys programinės įrangos paslaugų, nulaužtų programų ar žaidimų įrankių, gali rasti šiuos kenkėjiškus puslapius paieškos rezultatų viršuje.

Atidarius saugyklą, vartotojai paprastai nukreipiami į profesionaliai sukurtą svetainę, kuri imituoja autentišką programinės įrangos atsisiuntimo puslapį. Šiuose puslapiuose dažnai reklamuojami žaidimų kodai, nulaužtos programos, FPS gerinimo įrankiai arba programos, teigiančios, kad modifikuoja arba atsisiunčia tokias programas kaip „Filmora“ ar „Voicemod“.

Galiausiai svetainė pateikia ZIP archyvą, kuriame apsimeta esant programinės įrangos diegimo programa. Kai archyvas atsisiunčiamas ir jame esantys failai paleidžiami, aktyvuojamas kenkėjiškasis failas ir prasideda „BoryptGrab“ užkrėtimo procesas.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
21,503
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...