Nauja „Infostealer“ kenkėjiška programa, platinama „Dark Web“.
Rusijos įsilaužimo pogrindžio forumai visada buvo palanki dirva kenkėjiškų programų platinimui. Saugumo tyrinėtojai tik neseniai atrado naują kenkėjiškų programų atmainą, parduodamą viename iš tų forumų.
Naujoji kenkėjiška programa veikia kaip informacijos vagystė ir vadinasi BlackGuard . Kenkėjišką programinę įrangą pastebėjo saugos tyrėjai su debesų saugos kompanija „zScaler“. Jie nustatė, kad „BlackGuard“ parduodama naudojant kenkėjišką programą kaip paslaugą, o autoriai ima 200 USD mėnesinį mokestį už jos naudojimą.
BlackGuard parduodamas ir kaip paslauga, ir kaip vienkartinis pirkinys
Be mėnesinio kenkėjiškų programų „prenumeratos“ mokesčio, autoriai taip pat siūlo vienkartinį išankstinį 700 USD įsigijimą, suteikiantį prieigą visam gyvenimui. Tai atrodo keistas sprendimas, atsižvelgiant į tai, kokia brangi mėnesinė prenumerata.
„BlackGuard“ yra su visomis funkcijomis, kurių tikitės iš „infostealer“. Jis gali nubraukti slaptažodžius, automatiškai užpildyti formų duomenis, naršyklės istoriją ir slapukus, taip pat pranešimų istoriją, išsaugotą tokiose programose kaip „Discord“, „Telegram“ ir „Element“. Kenkėjiška programa taip pat gali nukreipti į piniginės failus, kuriuose yra daug kriptovaliutų , įskaitant Ethereum ir Bitcoin.
„zScaler“ teigimu, infostealer vis dar aktyviai kuriamas, tačiau jau gali pasigirti daugybe funkcijų, kad būtų patrauklesnis potencialiems filialams ar pirkėjams. „BlackGuard“ jau turi integruotas trikdymo ir apsaugos nuo derinimo funkcijas, kad „infosec“ tyrėjas galėtų su ja dirbti sunkiau.
BlackGuard vengia taikinių, esančių NVS šalyse
Nesunku įsivaizduoti, kokia yra kenkėjiškų programų kilmė, nes ji tikrina sistemos, į kurią patenka, kilmės šalį ir ar tai Rusija, ar kuri nors iš buvusių sovietinių respublikų, bendrai vadinamų Nepriklausomų valstybių sandrauga, procesas tiesiog baigiasi savaime.
Infostealer nuskaito visus duomenis, kuriuos gali rasti tikslinėje sistemoje, tada viską supakuoja į archyvo failą ir siunčia surinktą informaciją į savo komandų ir valdymo serverius, naudodamas HTTP POST užklausas.
Nors yra ir kitų, turinčių daugiau funkcijų ir populiaresnių informacijos vagių, tyrėjai perspėja, kad „BlackGuard“ vis labiau populiarėja ir turėtų būti atidžiai stebimas, nes netrukus gali iškilti pavojingesnė grėsmė.