BoryptGrab-styver
BoryptGrab er en sofistikert informasjonsstjelende skadevare som er utviklet for å samle sensitive data fra kompromitterte systemer. Trusselen sprer seg primært gjennom falske GitHub-lagre og villedende nedlastingssider som markedsfører gratis programvareverktøy. Disse ondsinnede sidene er laget for å virke legitime, noe som øker sannsynligheten for at intetanende brukere laster ned og kjører de infiserte filene.
I visse angrepskjeder leverer BoryptGrab også en ekstra skadelig komponent kjent som TunnesshClient, en bakdør som muliggjør ekstern tilgang og videre utnyttelse av den infiserte enheten. Når BoryptGrab eller en relatert trussel oppdages på et system, må den fjernes umiddelbart for å forhindre ytterligere datatyveri eller systemkompromittering.
Innholdsfortegnelse
Unngåelsesteknikker og privilegiumsopptrapping
Før den starter hovednyttelasten, utfører BoryptGrab flere kontroller som er utformet for å unngå sikkerhetsforskere og automatiserte analysemiljøer. Skadevaren inspiserer systemfiler og konfigurasjonsinnstillinger for å avgjøre om den kjører inne i en virtuell maskin. Slike miljøer brukes ofte av sikkerhetsanalytikere, og deteksjon av dem lar skadevaren endre oppførselen eller stoppe kjøringen.
I tillegg til å oppdage virtuelle maskiner, skanner skadevaren aktive prosesser for å identifisere kjente analyse- eller feilsøkingsverktøy. Hvis disse verktøyene oppdages, kan den ondsinnede aktiviteten undertrykkes for å unngå eksponering. Et annet viktig trinn i infeksjonsprosessen involverer forsøk på å få administratorrettigheter, slik at skadevaren får tilgang til beskyttede systemområder og kan trekke ut et bredere spekter av sensitiv informasjon.
Funksjoner for innsamling av nettleserdata
Et hovedmål med BoryptGrab er å samle inn sensitiv informasjon lagret i nettlesere. Skadevaren retter seg mot en rekke mye brukte nettlesere, inkludert Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi og Yandex Browser.
Informasjonstypene som hentes ut fra disse nettleserne inkluderer vanligvis påloggingsinformasjon, autofylldata, nettleserlogg og andre lagrede personopplysninger. For å hjelpe til med denne prosessen laster BoryptGrab ned et spesialisert Chromium-basert verktøy som muliggjør effektiv utvinning av nettleserdata. Dette øker mengden informasjon som kan stjeles fra et kompromittert system betydelig.
Kryptovaluta-lommebøker under angrep
Kryptovaluta-eiendeler er et annet hovedmål for BoryptGrab. Skadevaren søker etter lokalt lagrede data relatert til kryptovaluta-lommebøker for stasjonære datamaskiner og nettleserutvidelser knyttet til digital aktivaforvaltning. Ved å trekke ut lommebokdata kan angripere få tilgang til eller overføre lagrede midler.
Skadevaren retter seg spesifikt mot et bredt spekter av lommebokapplikasjoner og relaterte tjenester, inkludert:
- Armory-lommebok
- Atomisk
- AtomicDEX
- Binance
- Bitcoin Core
- BitPay
- Blockstream Green
- Chia-lommebok
- Coinomi
- Egenandel
- Daedalus Mainnet
- Dash Core
- Dogecoin
- Elektron kontanter
- Elektrum
- ElectrumLTC
- Ethereum
- Exodus
- Grønnadresse
- Guarda
- Jaxx Desktop
- Komodo-lommebok
- Ledger Live
- Ledger-lommebok
- Litecoin Core
- MEW-skrivebord
- MultiDoge
- MyEtherWallet
- NOW Lommebok
- Raven Core
- StakeCube
- Trezor-suiten
- Wasabi-lommebok
Tilstedeværelsen av en så omfattende liste fremhever skadevarens sterke fokus på økonomisk tyveri.
Utvidet datainnsamling og eksfiltrering
Utover nettlesere og kryptovaluta-lommebøker samler BoryptGrab inn ytterligere data fra det infiserte systemet. Skadevaren søker i vanlige mapper etter filer med spesifikke utvidelser som kan inneholde verdifull informasjon. Meldingsapplikasjoner og andre kommunikasjonsplattformer er også målrettet.
De innsamlede dataene kan inkludere Telegram-filer, lagrede nettleserpassord og, i nyere varianter av skadevaren, Discord-autentiseringstokener. Etter at datainnsamlingsfasen er fullført, tar BoryptGrab et skjermbilde av offerets skrivebord og samler generell systeminformasjon om den kompromitterte maskinen. Alle innsamlede data komprimeres deretter til et arkiv og overføres til en server kontrollert av angriperne.
TunnesshClient-bakdør: Fjernkontroll og trafikktunneling
Noen versjoner av BoryptGrab bruker et ekstra skadelig verktøy kjent som TunnesshClient, selv om denne funksjonen ikke finnes i alle varianter. TunnesshClient er en Python-basert bakdør som gir angripere muligheten til å kjøre kommandoer eksternt.
Gjennom denne bakdøren kan nettkriminelle utstede kommandoer direkte til det infiserte systemet. Verktøyet muliggjør også videresending av nettverkstrafikk via en omvendt SSH-tilkobling, slik at angripere kan rute internettaktivitet gjennom den kompromitterte enheten. Denne funksjonaliteten kan brukes til å skjule ondsinnede operasjoner, utføre ytterligere angrep eller opprettholde langvarig vedvarende aktivitet i offerets nettverk.
Konsekvenser av en BoryptGrab-infeksjon
Et vellykket BoryptGrab-angrep kan føre til alvorlige konsekvenser for ofrene. Den stjålne informasjonen inkluderer ofte legitimasjon, personopplysninger og detaljer om kryptovalutalommebøker, som umiddelbart kan utnyttes av nettkriminelle.
Vanlige konsekvenser av et slikt angrep inkluderer:
- Økonomiske tap som følge av stjålet kryptovaluta eller kompromitterte finansielle kontoer
- Identitetstyveri på grunn av lekkede person- eller autentiseringsdata
- Kaprede nettkontoer som e-post, sosiale medier eller meldingsplattformer
- Sekundære infeksjoner levert gjennom ytterligere skadevarekomponenter
Gitt disse risikoene er det viktig å umiddelbart fjerne skadevaren fra infiserte enheter for å begrense ytterligere skade.
Infeksjonsvektor: Ondsinnede GitHub-sider og falske programvarenedlastinger
Distribusjonsstrategien bak BoryptGrab er i stor grad avhengig av sosial manipulering og manipulering av pålitelige utviklingsplattformer. Nettkriminelle oppretter offentlige GitHub-repositorier som ser ut til å være vert for legitime programvareprosjekter. Disse repositoriene inneholder ofte dokumentasjon, filer og beskrivelser som er utformet for å etterligne autentiske verktøy.
For å maksimere synligheten bruker angripere søkemotoroptimaliseringsteknikker for å få sine skadelige databaser og GitHub-sider høyere opp i søkeresultatene. Brukere som søker etter programvareverktøy, sprukne programmer eller spillverktøy kan derfor støte på disse skadelige sidene nær toppen av søkeresultatene.
Når et arkiv åpnes, blir brukere vanligvis omdirigert til et profesjonelt designet nettsted som imiterer en autentisk programvarenedlastingsside. Disse sidene annonserer ofte spilljuksekoder, sprukne programmer, FPS-boostere eller verktøy som hevder å modifisere eller laste ned applikasjoner som Filmora eller Voicemod.
Nettstedet tilbyr til slutt et ZIP-arkiv som later som det inneholder programvareinstallasjonsprogrammet. Når arkivet er lastet ned og de inkluderte filene kjøres, aktiveres den skadelige nyttelasten og BoryptGrab-infeksjonsprosessen starter.
