Vairāku licenču atlaides piedāvājums
Draudu datu bāze Zagļi BoryptGrab zaglis

BoryptGrab zaglis

Līdz Mezo. gadam Zagļi, Advanced Persistent Threat (APT). gadā
Tulkot uz:

BoryptGrab ir sarežģīta informāciju zogoša ļaunprogrammatūra, kas paredzēta sensitīvu datu iegūšanai no apdraudētām sistēmām. Šis apdraudējums galvenokārt izplatās, izmantojot krāpnieciskas GitHub krātuves un maldinošas lejupielādes lapas, kas reklamē bezmaksas programmatūras rīkus. Šīs ļaunprātīgās lapas ir izveidotas tā, lai izskatītos likumīgas, palielinot iespējamību, ka neko nenojaušojoši lietotāji lejupielādēs un izpildīs inficētos failus.

Noteiktās uzbrukumu ķēdēs BoryptGrab nodrošina arī papildu ļaunprātīgu komponentu, kas pazīstams kā TunnesshClient — aizmugurējās durvis, kas nodrošina attālinātu piekļuvi inficētajai ierīcei un tās tālāku izmantošanu. Kad BoryptGrab vai jebkurš ar to saistīts apdraudējums ir atklāts sistēmā, tas ir nekavējoties jānoņem, lai novērstu turpmāku datu zādzību vai sistēmas kompromitēšanu.

Izvairīšanās metodes un privilēģiju eskalācija

Pirms galvenās slodzes palaišanas BoryptGrab veic vairākas pārbaudes, kas paredzētas, lai apietu drošības pētniekus un automatizētas analīzes vides. Ļaunprogrammatūra pārbauda sistēmas failus un konfigurācijas iestatījumus, lai noteiktu, vai tā darbojas virtuālajā mašīnā. Šādas vides parasti izmanto drošības analītiķi, un to atklāšana ļauj ļaunprogrammatūrai mainīt savu darbību vai apturēt izpildi.

Papildus virtuālo mašīnu noteikšanai ļaunprogrammatūra skenē aktīvos procesus, lai identificētu zināmus analīzes vai atkļūdošanas rīkus. Ja šie rīki tiek atklāti, ļaunprātīgā darbība var tikt apspiesta, lai izvairītos no atmaskošanas. Vēl viens svarīgs inficēšanās procesa solis ir mēģinājumi iegūt administratora privilēģijas, ļaujot ļaunprogrammatūrai piekļūt aizsargātām sistēmas zonām un iegūt plašāku sensitīvas informācijas klāstu.

Pārlūkprogrammas datu apkopošanas iespējas

BoryptGrab galvenais mērķis ir tīmekļa pārlūkprogrammās glabātās sensitīvās informācijas vākšana. Ļaunprogrammatūra ir vērsta pret daudzām plaši izmantotām pārlūkprogrammām, tostarp Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi un Yandex Browser.

No šīm pārlūkprogrammām parasti tiek iegūta informācija, tostarp pieteikšanās akreditācijas dati, automātiskās aizpildes dati, pārlūkošanas vēsture un citi saglabātie personas dati. Lai palīdzētu šajā procesā, BoryptGrab lejupielādē specializētu Chromium balstītu rīku, kas ļauj efektīvi iegūt pārlūkprogrammas datus. Tas ievērojami palielina informācijas apjomu, ko var nozagt no kompromitētas sistēmas.

Kriptovalūtu maki uzbrukumā

Kriptovalūtu aktīvi ir vēl viens nozīmīgs BoryptGrab mērķis. Ļaunprogrammatūra meklē lokāli saglabātus datus, kas saistīti ar datoru kriptovalūtu makiem un pārlūkprogrammas paplašinājumiem, kas saistīti ar digitālo aktīvu pārvaldību. Iegūstot maka datus, uzbrucēji var iegūt iespēju piekļūt saglabātajiem līdzekļiem vai pārskaitīt tos.

Ļaunprogrammatūra ir īpaši vērsta pret plašu maku lietojumprogrammu un saistīto pakalpojumu klāstu, tostarp:

  • Arsenāla maciņš
  • Atomu
  • AtomicDEX
  • Binance
  • Bitcoin kodols
  • BitPay
  • Blockstream Green
  • Chia maciņš
  • Coinomi
  • Kopāmaksa
  • Daedalus Mainnet
  • Dash Core
  • Dogecoin
  • Elektroniskā nauda
  • Elektrums
  • ElectrumLTC
  • Ethereum
  • Izceļošana
  • GreenAddress
  • Guarda
  • Jaxx Desktop
  • Komodo maciņš
  • Ledger Live
  • Virsgrāmatas maks
  • Litecoin kodols
  • MEW darbvirsma
  • MultiDoge
  • MansĒtera maciņš
  • TAGAD maciņš
  • Kraukļa kodols
  • StakeCube
  • Trezor Suite
  • Vasabi maciņš

Tik plaša saraksta klātbūtne uzsver ļaunprogrammatūras spēcīgo koncentrēšanos uz finanšu zādzībām.

Paplašināta datu vākšana un izvilkšana

Papildus pārlūkprogrammām un kriptovalūtu makiem BoryptGrab apkopo papildu datus no inficētās sistēmas. Ļaunprogramma meklē koplietojamos direktorijos failus ar noteiktiem paplašinājumiem, kas var saturēt vērtīgu informāciju. Tiek mērķētas arī ziņojumapmaiņas lietojumprogrammas un citas saziņas platformas.

Apkopotie dati var ietvert Telegram failus, saglabātas pārlūkprogrammas paroles un, jaunākos ļaunprogrammatūras variantos, Discord autentifikācijas žetonus. Pēc datu vākšanas fāzes pabeigšanas BoryptGrab uzņem upura darbvirsmas ekrānuzņēmumu un apkopo vispārīgu sistēmas informāciju par apdraudēto datoru. Visi apkopotie dati pēc tam tiek saspiesti arhīvā un nosūtīti uz uzbrucēju kontrolētu serveri.

TunnesshClient Backdoor: Tālvadība un satiksmes tunelēšana

Dažās BoryptGrab versijās ir ievietots papildu ļaunprātīgs rīks, kas pazīstams kā TunnesshClient, lai gan šī funkcija nav pieejama visās variantos. TunnesshClient ir Python bāzēta aizmugurējā durvju sistēma, kas uzbrucējiem nodrošina attālinātas komandu izpildes iespējas.

Caur šīm aizmugurējām durvīm kibernoziedznieki var dot komandas tieši inficētajai sistēmai. Rīks arī nodrošina tīkla datplūsmas pārsūtīšanu, izmantojot reverso SSH savienojumu, ļaujot uzbrucējiem novirzīt interneta aktivitātes caur apdraudēto ierīci. Šo funkcionalitāti var izmantot, lai slēptu ļaunprātīgas darbības, veiktu turpmākus uzbrukumus vai uzturētu ilgtermiņa noturību upura tīklā.

BoryptGrab infekcijas sekas

Veiksmīga BoryptGrab apdraudējuma gadījumā cietušajiem var būt nopietnas sekas. Nozagtā informācija bieži ietver akreditācijas datus, personas datus un kriptovalūtas maka informāciju, ko kibernoziedznieki var nekavējoties izmantot.

Šāda uzbrukuma biežākās sekas ir šādas:

  • Finansiāli zaudējumi, kas radušies nozagtas kriptovalūtas vai apdraudētu finanšu kontu dēļ
  • Identitātes zādzība nopludinātu personas vai autentifikācijas datu dēļ
  • Nolaupīti tiešsaistes konti, piemēram, e-pasts, sociālie mediji vai ziņojumapmaiņas platformas
  • Sekundārās infekcijas, kas rodas, izmantojot papildu ļaunprogrammatūras komponentus

Ņemot vērā šos riskus, ir svarīgi nekavējoties noņemt ļaunprogrammatūru no inficētajām ierīcēm, lai ierobežotu turpmākus bojājumus.

Infekcijas vektors: ļaunprātīgas GitHub lapas un viltotas programmatūras lejupielādes

BoryptGrab izplatīšanas stratēģija lielā mērā balstās uz sociālo inženieriju un uzticamu izstrādes platformu manipulācijām. Kibernoziedznieki izveido publiskas GitHub krātuves, kurās, šķiet, tiek mitināti likumīgi programmatūras projekti. Šīs krātuves bieži satur dokumentāciju, failus un aprakstus, kas izstrādāti, lai atdarinātu autentiskus rīkus.

Lai maksimāli palielinātu redzamību, uzbrucēji izmanto meklētājprogrammu optimizācijas metodes, lai savas ļaunprātīgās krātuves un GitHub lapas meklēšanas rezultātos izvirzītu augstāk. Tādēļ lietotāji, kas meklē programmatūras utilītas, uzlauztas programmas vai spēļu rīkus, var sastapties ar šīm ļaunprātīgajām lapām meklēšanas rezultātu augšdaļā.

Kad krātuve ir atvērta, lietotāji parasti tiek novirzīti uz profesionāli izstrādātu vietni, kas imitē autentisku programmatūras lejupielādes lapu. Šajās lapās bieži tiek reklamēti spēļu kodi, uzlauztas programmas, FPS pastiprinātāji vai utilītas, kas apgalvo, ka modificē vai lejupielādē tādas lietojumprogrammas kā Filmora vai Voicemod.

Vietne galu galā nodrošina ZIP arhīvu, kas it kā satur programmatūras instalētāju. Kad arhīvs tiek lejupielādēts un iekļautie faili tiek izpildīti, ļaunprātīgā lietderīgā slodze tiek aktivizēta un sākas BoryptGrab inficēšanas process.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
21,503
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...