Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ladrões Ladrão BoryptGrab

Ladrão BoryptGrab

Por Mezo em Ladrões, Ameaça Persistente Avançada (APT)
Traduzir Para:

O BoryptGrab é um malware sofisticado para roubo de informações, projetado para coletar dados confidenciais de sistemas comprometidos. A ameaça se espalha principalmente por meio de repositórios fraudulentos do GitHub e páginas de download enganosas que promovem ferramentas de software gratuito. Essas páginas maliciosas são elaboradas para parecerem legítimas, aumentando a probabilidade de usuários desavisados baixarem e executarem os arquivos infectados.

Em determinadas cadeias de ataque, o BoryptGrab também instala um componente malicioso adicional conhecido como TunnesshClient, uma porta dos fundos que permite acesso remoto e exploração adicional do dispositivo infectado. Uma vez detectado em um sistema, o BoryptGrab ou qualquer ameaça relacionada deve ser removido imediatamente para evitar roubo de dados adicional ou comprometimento do sistema.

Técnicas de evasão e escalada de privilégios

Antes de iniciar sua carga principal, o BoryptGrab realiza diversas verificações projetadas para burlar pesquisadores de segurança e ambientes de análise automatizada. O malware inspeciona arquivos de sistema e configurações para determinar se está sendo executado dentro de uma máquina virtual. Esses ambientes são comumente usados por analistas de segurança, e detectá-los permite que o malware altere seu comportamento ou interrompa sua execução.

Além da detecção de máquinas virtuais, o malware examina os processos ativos para identificar ferramentas conhecidas de análise ou depuração. Se essas ferramentas forem detectadas, a atividade maliciosa pode ser suprimida para evitar a exposição. Outra etapa importante no processo de infecção envolve tentativas de obter privilégios administrativos, permitindo que o malware acesse áreas protegidas do sistema e extraia uma gama maior de informações confidenciais.

Capacidades de coleta de dados do navegador

Um dos principais objetivos do BoryptGrab é coletar informações confidenciais armazenadas em navegadores da web. O malware tem como alvo diversos navegadores amplamente utilizados, incluindo Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi e Yandex Browser.

Os tipos de informações extraídas desses navegadores geralmente incluem credenciais de login, dados de preenchimento automático, histórico de navegação e outros dados pessoais armazenados. Para auxiliar nesse processo, o BoryptGrab baixa uma ferramenta especializada baseada no Chromium que permite a extração eficiente de dados do navegador. Isso aumenta significativamente o volume de informações que podem ser roubadas de um sistema comprometido.

Carteiras de criptomoedas sob ataque

Os ativos de criptomoedas são outro alvo principal do BoryptGrab. O malware busca dados armazenados localmente relacionados a carteiras de criptomoedas em computadores e extensões de navegador associadas ao gerenciamento de ativos digitais. Ao extrair os dados da carteira, os atacantes podem obter acesso ou transferir os fundos armazenados.

O malware tem como alvo específico uma ampla gama de aplicativos de carteira e serviços relacionados, incluindo:

  • Carteira Armory
  • Atômico
  • AtômicoDEX
  • Binance
  • Bitcoin Core
  • BitPay
  • Blockstream Green
  • Carteira Chia
  • Coinomi
  • Coparticipação
  • Rede principal Daedalus
  • Dash Core
  • Dogecoin
  • Dinheiro eletrônico
  • Electrum
  • ElectrumLTC
  • Ethereum
  • Êxodo
  • Endereço Verde
  • Guarda
  • Jaxx Desktop
  • Carteira Komodo
  • Ledger Live
  • Carteira Ledger
  • Litecoin Core
  • MEW Desktop
  • MultiDoge
  • Minha carteira Ether
  • Carteira NOW
  • Núcleo do Corvo
  • StakeCube
  • Trezor Suite
  • Carteira Wasabi

A presença de uma lista tão extensa destaca o forte foco do malware em roubo financeiro.

Coleta e exfiltração de dados ampliadas

Além de navegadores e carteiras de criptomoedas, o BoryptGrab coleta dados adicionais do sistema infectado. O malware busca em diretórios comuns arquivos com extensões específicas que podem conter informações valiosas. Aplicativos de mensagens e outras plataformas de comunicação também são visados.

Os dados coletados podem incluir arquivos do Telegram, senhas armazenadas no navegador e, em variantes mais recentes do malware, tokens de autenticação do Discord. Após concluir a fase de coleta de dados, o BoryptGrab captura uma imagem da área de trabalho da vítima e compila informações gerais do sistema sobre a máquina comprometida. Todos os dados coletados são então compactados em um arquivo e transmitidos para um servidor controlado pelos atacantes.

Backdoor do cliente Tunnessh: Controle remoto e tunelamento de tráfego

Algumas versões do BoryptGrab implementam uma ferramenta maliciosa adicional conhecida como TunnesshClient, embora esse recurso não esteja presente em todas as variantes. O TunnesshClient é um backdoor baseado em Python que fornece aos atacantes a capacidade de executar comandos remotamente.

Por meio dessa porta dos fundos, os cibercriminosos podem enviar comandos diretamente ao sistema infectado. A ferramenta também permite o encaminhamento do tráfego de rede por meio de uma conexão SSH reversa, possibilitando que os atacantes direcionem a atividade da internet através do dispositivo comprometido. Essa funcionalidade pode ser usada para ocultar operações maliciosas, realizar ataques adicionais ou manter persistência a longo prazo na rede da vítima.

Consequências de uma infecção por BoryptGrab

Uma invasão bem-sucedida do BoryptGrab pode acarretar graves consequências para as vítimas. As informações roubadas geralmente incluem credenciais, dados pessoais e detalhes de carteiras de criptomoedas, que podem ser imediatamente explorados por cibercriminosos.

Os impactos comuns de um ataque desse tipo incluem:

  • Perdas financeiras resultantes de criptomoedas roubadas ou contas financeiras comprometidas
  • Roubo de identidade devido ao vazamento de dados pessoais ou de autenticação.
  • Contas online sequestradas, como e-mail, redes sociais ou plataformas de mensagens.
  • Infecções secundárias transmitidas por meio de componentes adicionais de malware.

Considerando esses riscos, a remoção imediata do malware dos dispositivos infectados é essencial para limitar maiores danos.

Vetor de infecção: Páginas maliciosas do GitHub e downloads de software falsos

A estratégia de distribuição do BoryptGrab baseia-se fortemente em engenharia social e manipulação de plataformas de desenvolvimento confiáveis. Os cibercriminosos criam repositórios públicos no GitHub que aparentam hospedar projetos de software legítimos. Esses repositórios geralmente contêm documentação, arquivos e descrições elaborados para imitar ferramentas autênticas.

Para maximizar a visibilidade, os atacantes usam técnicas de otimização de mecanismos de busca para impulsionar seus repositórios maliciosos e páginas do GitHub para posições mais altas nos resultados de pesquisa. Usuários que buscam por utilitários de software, programas crackeados ou ferramentas de jogos podem, portanto, encontrar essas páginas maliciosas perto do topo dos resultados de pesquisa.

Após a abertura de um repositório, os usuários geralmente são redirecionados para um site com design profissional que imita uma página autêntica de download de software. Essas páginas frequentemente anunciam cheats para jogos, programas crackeados, otimizadores de FPS ou utilitários que alegam modificar ou baixar aplicativos como Filmora ou Voicemod.

O site fornece um arquivo ZIP que simula conter o instalador do software. Quando o arquivo é baixado e os arquivos incluídos são executados, o malware é ativado e o processo de infecção pelo BoryptGrab é iniciado.

Tendendo

Um Método Atualizado Para Bloquear os Vírus de...

Segurança do Computador
Um vírus de computador é um programa de computador que não apenas soa desagradável, mas também é perigoso de se ter, não importa o tipo de vírus que ele seja, spyware, malware, adware, etc.. Quando um novo vírus de computador invade o mundo online da informática, a probabilidade de que o software anti-vírus do usuário seja capaz de ser eficaz o suficiente para tornar impotente esse malware no...

Mais visto

Carregando...