Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złodzieje BoryptGrab Stealer

BoryptGrab Stealer

Do Mezo w Złodzieje, Zaawansowane trwałe zagrożenie (APT)
Przetłumacz na:

BoryptGrab to wyrafinowane złośliwe oprogramowanie kradnące informacje, którego celem jest gromadzenie poufnych danych z zainfekowanych systemów. Zagrożenie rozprzestrzenia się głównie za pośrednictwem fałszywych repozytoriów GitHub i oszukańczych stron pobierania, promujących darmowe narzędzia programowe. Te złośliwe strony są tworzone tak, aby wyglądały na legalne, co zwiększa prawdopodobieństwo, że niczego niepodejrzewający użytkownicy pobiorą i uruchomią zainfekowane pliki.

W niektórych łańcuchach ataków BoryptGrab dostarcza również dodatkowy złośliwy komponent znany jako TunnesshClient, czyli backdoor, który umożliwia zdalny dostęp i dalszą eksploatację zainfekowanego urządzenia. Po wykryciu w systemie BoryptGrab lub wszelkie powiązane zagrożenie muszą zostać natychmiast usunięte, aby zapobiec dalszej kradzieży danych lub naruszeniu systemu.

Techniki unikania i eskalacja uprawnień

Przed uruchomieniem głównego ładunku BoryptGrab przeprowadza szereg kontroli mających na celu ominięcie analityków bezpieczeństwa i zautomatyzowanych środowisk analitycznych. Szkodliwe oprogramowanie sprawdza pliki systemowe i ustawienia konfiguracyjne, aby ustalić, czy działa w maszynie wirtualnej. Takie środowiska są powszechnie wykorzystywane przez analityków bezpieczeństwa, a ich wykrycie pozwala złośliwemu oprogramowaniu zmienić swoje zachowanie lub zatrzymać wykonywanie.

Oprócz wykrywania maszyn wirtualnych, złośliwe oprogramowanie skanuje aktywne procesy w celu zidentyfikowania znanych narzędzi analitycznych lub debugujących. W przypadku wykrycia tych narzędzi, szkodliwa aktywność może zostać zablokowana, aby uniknąć ujawnienia. Kolejnym ważnym krokiem w procesie infekcji są próby uzyskania uprawnień administracyjnych, umożliwiających złośliwemu oprogramowaniu dostęp do chronionych obszarów systemu i wydobycie szerszego zakresu poufnych informacji.

Możliwości zbierania danych z przeglądarki

Głównym celem BoryptGrab jest gromadzenie poufnych informacji przechowywanych w przeglądarkach internetowych. Szkodliwe oprogramowanie atakuje wiele popularnych przeglądarek, w tym Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi i Yandex Browser.

Informacje wyodrębniane z tych przeglądarek zazwyczaj obejmują dane logowania, dane autouzupełniania, historię przeglądania i inne przechowywane dane osobowe. Aby wspomóc ten proces, BoryptGrab pobiera specjalistyczne narzędzie oparte na Chromium, które umożliwia efektywne wyodrębnianie danych przeglądarki. To znacznie zwiększa ilość informacji, które mogą zostać skradzione z zainfekowanego systemu.

Portfele kryptowalutowe pod atakiem

Aktywa kryptowalutowe to kolejny główny cel BoryptGrab. Szkodliwe oprogramowanie przeszukuje lokalnie przechowywane dane związane z portfelami kryptowalutowymi na komputerach stacjonarnych oraz rozszerzeniami przeglądarek związanymi z zarządzaniem aktywami cyfrowymi. Wydobywając dane z portfela, atakujący mogą uzyskać dostęp do przechowywanych środków lub je przelać.

Szkodliwe oprogramowanie atakuje szeroką gamę aplikacji portfelowych i powiązanych z nimi usług, w tym:

  • Portfel Armory
  • Atomowy
  • AtomicDEX
  • Binance
  • Rdzeń Bitcoina
  • BitPay
  • Blockstream Green
  • Portfel Chia
  • Coinomi
  • Dopłata
  • Sieć główna Daedalus
  • Rdzeń Dash
  • Dogecoin
  • Gotówka elektroniczna
  • Elektron
  • ElectrumLTC
  • Ethereum
  • Exodus
  • Zielony adres
  • Strażnik
  • Jaxx Desktop
  • Portfel Komodo
  • Ledger Live
  • Portfel Ledger
  • Rdzeń Litecoin
  • MEW Desktop
  • MultiDoge
  • Mój portfel EtherWallet
  • Portfel NOW
  • Rdzeń Kruka
  • StakeCube
  • Trezor Suite
  • Portfel Wasabi

Obecność tak obszernej listy podkreśla, że celem tego złośliwego oprogramowania jest przede wszystkim kradzież finansowa.

Rozszerzone gromadzenie i eksfiltracja danych

Oprócz przeglądarek i portfeli kryptowalut, BoryptGrab gromadzi również inne dane z zainfekowanego systemu. Szkodliwe oprogramowanie przeszukuje popularne katalogi w poszukiwaniu plików o określonych rozszerzeniach, które mogą zawierać cenne informacje. Celem ataków są również aplikacje do przesyłania wiadomości i inne platformy komunikacyjne.

Zebrane dane mogą obejmować pliki Telegramu, zapisane hasła do przeglądarek, a w nowszych wersjach złośliwego oprogramowania – tokeny uwierzytelniające Discorda. Po zakończeniu fazy gromadzenia danych BoryptGrab przechwytuje zrzut ekranu pulpitu ofiary i kompiluje ogólne informacje systemowe o zainfekowanym komputerze. Wszystkie zebrane dane są następnie kompresowane do archiwum i przesyłane na serwer kontrolowany przez atakujących.

TunnesshClient Backdoor: Zdalne sterowanie i tunelowanie ruchu

Niektóre wersje BoryptGrab wdrażają dodatkowe złośliwe narzędzie znane jako TunnesshClient, choć funkcja ta nie jest dostępna w każdej wersji. TunnesshClient to backdoor oparty na Pythonie, który umożliwia atakującym zdalne wykonywanie poleceń.

Za pomocą tego tylnego wejścia cyberprzestępcy mogą wydawać polecenia bezpośrednio do zainfekowanego systemu. Narzędzie umożliwia również przekierowanie ruchu sieciowego poprzez odwrotne połączenie SSH, umożliwiając atakującym kierowanie aktywności internetowej przez zainfekowane urządzenie. Funkcjonalność ta może być wykorzystywana do ukrywania złośliwych operacji, przeprowadzania dalszych ataków lub utrzymywania długotrwałego działania w sieci ofiary.

Konsekwencje infekcji BoryptGrab

Skuteczne włamanie do BoryptGrab może mieć poważne konsekwencje dla ofiar. Skradzione informacje często obejmują dane uwierzytelniające, dane osobowe i szczegóły portfela kryptowalutowego, które mogą zostać natychmiast wykorzystane przez cyberprzestępców.

Do typowych skutków takiego ataku należą:

  • Straty finansowe wynikające z kradzieży kryptowaluty lub naruszenia bezpieczeństwa kont finansowych
  • Kradzież tożsamości w wyniku wycieku danych osobowych lub uwierzytelniających
  • Przejęte konta internetowe, takie jak konta e-mail, konta w mediach społecznościowych lub platformy do przesyłania wiadomości
  • Wtórne infekcje przenoszone za pośrednictwem dodatkowych komponentów złośliwego oprogramowania

Biorąc pod uwagę te zagrożenia, aby ograniczyć dalsze szkody, konieczne jest natychmiastowe usunięcie złośliwego oprogramowania z zainfekowanych urządzeń.

Wektor infekcji: złośliwe strony GitHub i fałszywe pliki do pobrania oprogramowania

Strategia dystrybucji BoryptGrab opiera się w dużej mierze na socjotechnice i manipulacji zaufanymi platformami programistycznymi. Cyberprzestępcy tworzą publiczne repozytoria GitHub, które pozornie hostują legalne projekty oprogramowania. Te repozytoria często zawierają dokumentację, pliki i opisy mające naśladować autentyczne narzędzia.

Aby zmaksymalizować widoczność, atakujący stosują techniki optymalizacji wyszukiwarek, aby umieścić swoje złośliwe repozytoria i strony GitHub wyżej w wynikach wyszukiwania. Użytkownicy szukający programów narzędziowych, zhakowanych programów lub narzędzi do gier mogą zatem natrafić na te złośliwe strony w górnej części wyników wyszukiwania.

Po otwarciu repozytorium użytkownicy są zazwyczaj przekierowywani na profesjonalnie zaprojektowaną stronę internetową, która imituję autentyczną stronę pobierania oprogramowania. Strony te często reklamują cheaty do gier, złamane programy, programy zwiększające liczbę klatek na sekundę (FPS) lub narzędzia, które rzekomo modyfikują lub pobierają aplikacje, takie jak Filmora czy Voicemod.

Strona ostatecznie udostępnia archiwum ZIP, które podszywa się pod instalator oprogramowania. Po pobraniu archiwum i uruchomieniu zawartych w nim plików, aktywowany jest szkodliwy kod i rozpoczyna się proces infekcji BoryptGrab.

Popularne

Najczęściej oglądane

Ładowanie...