Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Dieven BoryptGrab Stealer

BoryptGrab Stealer

Tegen Mezo in Dieven, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

BoryptGrab is geavanceerde malware die is ontworpen om gevoelige gegevens te stelen van gecompromitteerde systemen. De dreiging verspreidt zich voornamelijk via frauduleuze GitHub-repositories en misleidende downloadpagina's die gratis softwaretools promoten. Deze kwaadaardige pagina's zijn zo gemaakt dat ze legitiem lijken, waardoor de kans groter is dat nietsvermoedende gebruikers de geïnfecteerde bestanden downloaden en uitvoeren.

In bepaalde aanvalsketens levert BoryptGrab ook een extra kwaadaardige component genaamd TunnesshClient, een backdoor die toegang op afstand en verdere exploitatie van het geïnfecteerde apparaat mogelijk maakt. Zodra BoryptGrab of een gerelateerde dreiging op een systeem wordt gedetecteerd, moet deze onmiddellijk worden verwijderd om verdere gegevensdiefstal of systeemcompromittering te voorkomen.

Ontwijkingstechnieken en privilege-escalatie

Voordat BoryptGrab zijn belangrijkste aanval uitvoert, voert het verschillende controles uit die bedoeld zijn om beveiligingsonderzoekers en geautomatiseerde analyseomgevingen te omzeilen. De malware inspecteert systeembestanden en configuratie-instellingen om te bepalen of het in een virtuele machine draait. Dergelijke omgevingen worden vaak gebruikt door beveiligingsanalisten, en de detectie ervan stelt de malware in staat zijn gedrag aan te passen of de uitvoering te stoppen.

Naast het detecteren van virtuele machines scant de malware ook actieve processen om bekende analyse- of debugtools te identificeren. Als deze tools worden gedetecteerd, kan de schadelijke activiteit worden onderdrukt om blootstelling te voorkomen. Een andere belangrijke stap in het infectieproces is het verkrijgen van beheerdersrechten, waardoor de malware toegang krijgt tot beveiligde systeemgebieden en een breder scala aan gevoelige informatie kan bemachtigen.

Mogelijkheden voor het verzamelen van browsergegevens

Een belangrijk doel van BoryptGrab is het verzamelen van gevoelige informatie die is opgeslagen in webbrowsers. De malware richt zich op tal van veelgebruikte browsers, waaronder Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi en Yandex Browser.

De soorten informatie die uit deze browsers worden gehaald, omvatten doorgaans inloggegevens, automatisch ingevulde gegevens, browsegeschiedenis en andere opgeslagen persoonlijke gegevens. Om dit proces te vergemakkelijken, downloadt BoryptGrab een gespecialiseerde, op Chromium gebaseerde tool die efficiënte extractie van browsergegevens mogelijk maakt. Dit verhoogt de hoeveelheid informatie die uit een gecompromitteerd systeem kan worden gestolen aanzienlijk.

Cryptowallets onder aanval

Cryptovaluta zijn een ander belangrijk doelwit van BoryptGrab. De malware zoekt naar lokaal opgeslagen gegevens van cryptowallets op desktopcomputers en browserextensies voor digitaal vermogensbeheer. Door walletgegevens te extraheren, kunnen aanvallers toegang krijgen tot opgeslagen tegoeden of deze overmaken.

De malware richt zich specifiek op een breed scala aan wallet-applicaties en aanverwante diensten, waaronder:

  • Armory-portemonnee
  • Atoom
  • AtomicDEX
  • Binance
  • Bitcoin Core
  • BitPay
  • Blockstream Green
  • Chia-portemonnee
  • Coinomi
  • Eigen bijdrage
  • Daedalus Mainnet
  • Dash Core
  • Dogecoin
  • Elektronisch geld
  • Electrum
  • ElectrumLTC
  • Ethereum
  • Exodus
  • GroenAdres
  • Guarda
  • Jaxx Desktop
  • Komodo portemonnee
  • Ledger Live
  • Ledger Wallet
  • Litecoin Core
  • MEW Desktop
  • MultiDoge
  • MijnEtherWallet
  • NOW-portemonnee
  • Raven Core
  • StakeCube
  • Trezor Suite
  • Wasabi-portemonnee

De aanwezigheid van zo'n uitgebreide lijst benadrukt de sterke focus van de malware op financiële diefstal.

Uitgebreidere gegevensverzameling en -exfiltratie

Naast browsers en cryptowallets verzamelt BoryptGrab ook andere gegevens van het geïnfecteerde systeem. De malware doorzoekt veelgebruikte mappen naar bestanden met specifieke extensies die waardevolle informatie kunnen bevatten. Berichtenapps en andere communicatieplatformen worden eveneens aangevallen.

De verzamelde gegevens kunnen Telegram-bestanden, opgeslagen browserwachtwoorden en, in nieuwere varianten van de malware, Discord-authenticatietokens bevatten. Na de fase van gegevensverzameling maakt BoryptGrab een schermafbeelding van het bureaublad van het slachtoffer en verzamelt algemene systeeminformatie over de geïnfecteerde machine. Alle verzamelde gegevens worden vervolgens gecomprimeerd in een archief en verzonden naar een server die door de aanvallers wordt beheerd.

TunnesshClient-achterdeur: afstandsbediening en verkeerstunneling

Sommige versies van BoryptGrab implementeren een extra kwaadaardige tool genaamd TunnesshClient, hoewel deze functie niet in elke variant aanwezig is. TunnesshClient is een op Python gebaseerde backdoor die aanvallers de mogelijkheid biedt om op afstand commando's uit te voeren.

Via deze achterdeur kunnen cybercriminelen rechtstreeks commando's naar het geïnfecteerde systeem sturen. De tool maakt het ook mogelijk om netwerkverkeer door te sturen via een omgekeerde SSH-verbinding, waardoor aanvallers internetactiviteit via het gecompromitteerde apparaat kunnen leiden. Deze functionaliteit kan worden gebruikt om kwaadaardige handelingen te verbergen, verdere aanvallen uit te voeren of langdurig aanwezig te blijven in het netwerk van het slachtoffer.

Gevolgen van een BoryptGrab-infectie

Een succesvolle BoryptGrab-aanval kan ernstige gevolgen hebben voor de slachtoffers. De gestolen informatie omvat vaak inloggegevens, persoonlijke gegevens en details van cryptowallets, die direct door cybercriminelen kunnen worden misbruikt.

De meest voorkomende gevolgen van een dergelijke aanval zijn:

  • Financiële verliezen als gevolg van gestolen cryptovaluta of gecompromitteerde financiële rekeningen
  • Identiteitsdiefstal als gevolg van gelekte persoonlijke of authenticatiegegevens
  • Gehackte online accounts, zoals e-mail-, sociale media- of berichtenplatforms.
  • Secundaire infecties worden verspreid via extra malwarecomponenten.

Gezien deze risico's is het essentieel om de malware onmiddellijk van geïnfecteerde apparaten te verwijderen om verdere schade te beperken.

Infectievector: Malafide GitHub-pagina's en nepsoftwaredownloads

De distributiestrategie van BoryptGrab is sterk gebaseerd op social engineering en manipulatie van vertrouwde ontwikkelplatformen. Cybercriminelen maken openbare GitHub-repositories aan die legitieme softwareprojecten lijken te hosten. Deze repositories bevatten vaak documentatie, bestanden en beschrijvingen die zijn ontworpen om authentieke tools na te bootsen.

Om de zichtbaarheid te maximaliseren, gebruiken aanvallers zoekmachineoptimalisatietechnieken om hun kwaadaardige repositories en GitHub-pagina's hoger in de zoekresultaten te krijgen. Gebruikers die zoeken naar softwareprogramma's, gekraakte programma's of gametools kunnen deze kwaadaardige pagina's daardoor bovenaan de zoekresultaten tegenkomen.

Zodra een repository is geopend, worden gebruikers doorgaans doorgestuurd naar een professioneel ontworpen website die een authentieke software-downloadpagina nabootst. Op deze pagina's worden vaak game-cheats, gekraakte programma's, FPS-boosters of hulpprogramma's aangeboden die beweren applicaties zoals Filmora of Voicemod te kunnen aanpassen of downloaden.

De website biedt uiteindelijk een ZIP-archief aan dat zogenaamd het software-installatieprogramma bevat. Wanneer het archief wordt gedownload en de daarin opgenomen bestanden worden uitgevoerd, wordt de schadelijke software geactiveerd en begint het BoryptGrab-infectieproces.

Trending

Meest bekeken

Bezig met laden...