Nowe złośliwe oprogramowanie Infostealer rozpowszechniane w Dark Web
Rosyjskie podziemne fora hakerskie zawsze były podatnym gruntem dla dystrybucji złośliwego oprogramowania. Badacze bezpieczeństwa dopiero niedawno odkryli nowy szczep złośliwego oprogramowania sprzedawany na jednym z tych forów.
Nowe złośliwe oprogramowanie działa jak złodziej informacji i nosi nazwę BlackGuard. Złośliwe oprogramowanie zostało wykryte przez badaczy bezpieczeństwa z firmą zScaler zajmującą się bezpieczeństwem w chmurze. Odkryli, że BlackGuard jest sprzedawany na zasadzie złośliwego oprogramowania jako usługi, a autorzy pobierają za jego użytkowanie 200 USD miesięcznej opłaty.
BlackGuard sprzedawany zarówno jako usługa, jak i jednorazowy zakup
Oprócz miesięcznej opłaty „subskrypcyjnej” za złośliwe oprogramowanie autorzy oferują również jednorazowy zakup z góry w wysokości 700 USD, co daje dożywotni dostęp. Wydaje się to ciekawą decyzją, biorąc pod uwagę, jak droga jest miesięczna subskrypcja w porównaniu.
BlackGuard ma wszystkie funkcje, których można oczekiwać od złodzieja informacji. Może zbierać hasła, automatycznie wypełniać dane formularzy, historię przeglądarki i pliki cookie, a także historię wiadomości zapisaną w aplikacjach takich jak Discord, Telegram i Element. Złośliwe oprogramowanie może również atakować pliki portfela zawierające szereg kryptowalut, w tym te Ethereum i Bitcoin.
Według zScaler, wykradacz informacji jest nadal aktywnie rozwijany, ale już może pochwalić się wieloma funkcjami, które sprawiają, że jest bardziej atrakcyjny dla potencjalnych partnerów lub kupujących. BlackGuard ma już wbudowane funkcje zaciemniania i zapobiegania debugowaniu, aby utrudnić badaczom infosec.
BlackGuard unika celów zlokalizowanych w krajach WNP
Nietrudno wyobrazić sobie pochodzenie tego szkodliwego oprogramowania, biorąc pod uwagę, że sprawdza on kraj pochodzenia systemu, w którym się znajduje, oraz czy jest to Rosja, czy jedna z byłych republik radzieckich, łącznie określanych jako Wspólnota Niepodległych Państw. proces po prostu kończy się sam.
Złodziej informacji zbiera wszystkie dane, które może znaleźć w systemie docelowym, a następnie pakuje je do pliku archiwum i wysyła zebrane informacje do swoich serwerów dowodzenia i kontroli, korzystając z żądań HTTP POST.
Chociaż istnieją inne, bogatsze w funkcje i bardziej popularne złodzieje informacji, naukowcy ostrzegają, że BlackGuard zyskuje na popularności i należy go uważnie obserwować, ponieważ może wkrótce stać się bardziej niebezpiecznym zagrożeniem.