Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Furători BoryptGrab Stealer

BoryptGrab Stealer

Până în Mezo în Furători, Amenințare persistentă avansată (APT)
Tradu in:

BoryptGrab este un malware sofisticat, conceput pentru a fura informații, conceput pentru a colecta date sensibile din sistemele compromise. Amenințarea se răspândește în principal prin intermediul depozitelor frauduloase GitHub și al paginilor de descărcare înșelătoare care promovează instrumente software gratuite. Aceste pagini rău intenționate sunt create pentru a părea legitime, crescând probabilitatea ca utilizatorii neavizați să descarce și să execute fișierele infectate.

În anumite lanțuri de atac, BoryptGrab oferă și o componentă malițioasă suplimentară, cunoscută sub numele de TunneshClient, un backdoor care permite accesul de la distanță și exploatarea ulterioară a dispozitivului infectat. Odată detectat pe un sistem, BoryptGrab sau orice amenințare conexă trebuie eliminată imediat pentru a preveni furtul suplimentar de date sau compromiterea sistemului.

Tehnici de evitare și escaladarea privilegiilor

Înainte de a iniția sarcina sa principală, BoryptGrab efectuează mai multe verificări menite să evite cercetătorii în domeniul securității și mediile de analiză automată. Malware-ul inspectează fișierele de sistem și setările de configurare pentru a determina dacă rulează în interiorul unei mașini virtuale. Astfel de medii sunt utilizate în mod obișnuit de analiștii de securitate, iar detectarea lor permite malware-ului să își modifice comportamentul sau să oprească execuția.

Pe lângă detectarea mașinilor virtuale, malware-ul scanează procesele active pentru a identifica instrumente de analiză sau depanare cunoscute. Dacă aceste instrumente sunt detectate, activitatea rău intenționată poate fi suprimată pentru a evita expunerea. Un alt pas important în procesul de infectare implică încercările de a obține privilegii administrative, permițând malware-ului să acceseze zonele protejate ale sistemului și să extragă o gamă mai largă de informații sensibile.

Capacități de colectare a datelor din browser

Un obiectiv principal al BoryptGrab este colectarea de informații sensibile stocate în browserele web. Malware-ul vizează numeroase browsere utilizate pe scară largă, inclusiv Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi și Yandex Browser.

Tipurile de informații extrase din aceste browsere includ de obicei credențiale de conectare, date de completare automată, istoricul de navigare și alte date personale stocate. Pentru a ajuta în acest proces, BoryptGrab descarcă un instrument specializat bazat pe Chromium, care permite extragerea eficientă a datelor browserului. Acest lucru crește semnificativ volumul de informații care pot fi furate dintr-un sistem compromis.

Portofelele cu criptomonede sub atac

Activele criptomonede sunt o altă țintă majoră a BoryptGrab. Malware-ul caută date stocate local legate de portofelele de criptomonede pentru desktop și extensii de browser asociate cu gestionarea activelor digitale. Prin extragerea datelor din portofel, atacatorii pot obține capacitatea de a accesa sau transfera fonduri stocate.

Malware-ul vizează în mod specific o gamă largă de aplicații de tip portofel și servicii conexe, inclusiv:

  • Portofel Armory
  • Atomic
  • AtomicDEX
  • Binance
  • Bitcoin Core
  • BitPay
  • Blockstream Green
  • Portofel Chia
  • Coinomi
  • Coplată
  • Rețeaua principală Daedalus
  • Dash Core
  • Dogecoin
  • Electron Cash
  • Electrum
  • ElectrumLTC
  • Ethereum
  • Exod
  • GreenAddress
  • Guarda
  • Jaxx Desktop
  • Portofel Komodo
  • Ledger Live
  • Portofel Ledger
  • Litecoin Core
  • Desktop MEW
  • MultiDoge
  • Portofelul Meu Eter
  • Portofel NOW
  • Nucleul Corbului
  • StakeCube
  • Suita Trezor
  • Portofel Wasabi

Prezența unei liste atât de extinse evidențiază concentrarea puternică a malware-ului pe furtul financiar.

Colectare și exfiltrare extinsă a datelor

Pe lângă browsere și portofele de criptomonede, BoryptGrab colectează date suplimentare din sistemul infectat. Malware-ul caută în directoarele comune fișiere cu extensii specifice care pot conține informații valoroase. Sunt vizate și aplicațiile de mesagerie și alte platforme de comunicare.

Datele colectate pot include fișiere Telegram, parole de browser stocate și, în variantele mai noi ale malware-ului, token-uri de autentificare Discord. După finalizarea fazei de colectare a datelor, BoryptGrab face o captură de ecran a desktopului victimei și compilează informații generale de sistem despre mașina compromisă. Toate datele colectate sunt apoi comprimate într-o arhivă și transmise către un server controlat de atacatori.

Backdoor TunneshClient: Control de la distanță și tunelare a traficului

Unele versiuni de BoryptGrab implementează un instrument malițios suplimentar, cunoscut sub numele de TunnesshClient, deși această funcție nu este prezentă în fiecare variantă. TunnesshClient este un backdoor bazat pe Python care oferă atacatorilor capacități de executare a comenzilor de la distanță.

Prin intermediul acestei porți ascunse (backdoor), infractorii cibernetici pot emite comenzi direct către sistemul infectat. Instrumentul permite, de asemenea, redirecționarea traficului de rețea printr-o conexiune SSH inversă, permițând atacatorilor să direcționeze activitatea de pe internet prin dispozitivul compromis. Această funcționalitate poate fi utilizată pentru a ascunde operațiuni rău intenționate, a efectua atacuri suplimentare sau a menține persistența pe termen lung în rețeaua victimei.

Consecințele unei infecții cu BoryptGrab

O compromitere reușită a BoryptGrab poate duce la consecințe grave pentru victime. Informațiile furate includ adesea acreditări, date personale și detalii despre portofelul de criptomonede, care pot fi exploatate imediat de infractorii cibernetici.

Impacturile comune ale unui astfel de atac includ:

  • Pierderi financiare rezultate din furtul criptomonedelor sau compromiterea conturilor financiare
  • Furtul de identitate din cauza scurgerii de date personale sau de autentificare
  • Conturi online deturnate, cum ar fi e-mail, rețele sociale sau platforme de mesagerie
  • Infecții secundare transmise prin componente malware suplimentare

Având în vedere aceste riscuri, eliminarea imediată a programelor malware de pe dispozitivele infectate este esențială pentru a limita daunele ulterioare.

Vector de infecție: Pagini GitHub rău intenționate și descărcări de software false

Strategia de distribuție din spatele BoryptGrab se bazează în mare măsură pe ingineria socială și manipularea platformelor de dezvoltare de încredere. Infractorii cibernetici creează depozite publice GitHub care par să găzduiască proiecte software legitime. Aceste depozite conțin adesea documentație, fișiere și descrieri concepute pentru a imita instrumente autentice.

Pentru a maximiza vizibilitatea, atacatorii folosesc tehnici de optimizare pentru motoarele de căutare pentru a plasa depozitele lor rău intenționate și paginile GitHub mai sus în rezultatele căutării. Prin urmare, utilizatorii care caută utilități software, programe piratate sau instrumente de jocuri pot întâlni aceste pagini rău intenționate în partea de sus a rezultatelor căutării.

Odată ce un depozit este deschis, utilizatorii sunt de obicei redirecționați către un site web cu design profesional care imită o pagină autentică de descărcare de software. Aceste pagini promovează frecvent trucuri pentru jocuri, programe piratate, boostere FPS sau utilitare care pretind că modifică sau descarcă aplicații precum Filmora sau Voicemod.

În cele din urmă, site-ul oferă o arhivă ZIP care pretinde că conține programul de instalare a software-ului. Când arhiva este descărcată și fișierele incluse sunt executate, sarcina utilă malițioasă este activată și începe procesul de infectare BoryptGrab.

Trending

Cele mai văzute

Se încarcă...