Скидка на мультилицензию
База данных угроз Вор Похититель BoryptGrab

Похититель BoryptGrab

К Mezo году в Вор, Расширенная постоянная угроза (APT) году
Перевести на:

BoryptGrab — это сложная вредоносная программа, предназначенная для кражи информации и сбора конфиденциальных данных из скомпрометированных систем. Угроза распространяется в основном через мошеннические репозитории GitHub и обманчивые страницы загрузки, рекламирующие бесплатные программные инструменты. Эти вредоносные страницы созданы таким образом, чтобы выглядеть легитимными, что повышает вероятность того, что ничего не подозревающие пользователи загрузят и запустят зараженные файлы.

В некоторых цепочках атак BoryptGrab также внедряет дополнительный вредоносный компонент, известный как TunnesshClient, — бэкдор, обеспечивающий удаленный доступ и дальнейшую эксплуатацию зараженного устройства. После обнаружения в системе BoryptGrab или любая связанная с ним угроза должна быть немедленно удалена, чтобы предотвратить дальнейшую кражу данных или компрометацию системы.

Методы уклонения и эскалация привилегий

Перед запуском основной полезной нагрузки BoryptGrab выполняет несколько проверок, предназначенных для обхода средств защиты и автоматизированных сред анализа. Вредоносная программа проверяет системные файлы и параметры конфигурации, чтобы определить, работает ли она внутри виртуальной машины. Такие среды часто используются аналитиками безопасности, и их обнаружение позволяет вредоносной программе изменить свое поведение или остановить выполнение.

Помимо обнаружения виртуальных машин, вредоносная программа сканирует активные процессы для выявления известных инструментов анализа или отладки. Если эти инструменты обнаружены, вредоносная активность может быть подавлена, чтобы избежать раскрытия. Еще одним важным этапом в процессе заражения являются попытки получения административных привилегий, позволяющих вредоносной программе получать доступ к защищенным областям системы и извлекать более широкий спектр конфиденциальной информации.

Возможности браузера по сбору данных

Основная цель BoryptGrab — сбор конфиденциальной информации, хранящейся в веб-браузерах. Вредоносная программа нацелена на множество широко используемых браузеров, включая Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi и Yandex Browser.

Типы информации, извлекаемой из этих браузеров, обычно включают учетные данные для входа, данные автозаполнения, историю просмотров и другие сохраненные личные данные. Для облегчения этого процесса BoryptGrab загружает специализированный инструмент на основе Chromium, который позволяет эффективно извлекать данные из браузера. Это значительно увеличивает объем информации, которую можно украсть из скомпрометированной системы.

Криптовалютные кошельки подвергаются атакам.

Криптовалютные активы — ещё одна важная цель BoryptGrab. Вредоносная программа ищет локально хранящиеся данные, связанные с настольными криптовалютными кошельками и расширениями для браузеров, предназначенными для управления цифровыми активами. Извлекая данные из кошельков, злоумышленники могут получить доступ к хранящимся средствам или осуществить их перевод.

Вредоносная программа нацелена на широкий спектр приложений-кошельков и связанных с ними сервисов, включая:

  • Кошелек Armory
  • Атомный
  • AtomicDEX
  • Binance
  • Биткоин Ядро
  • БитПэй
  • Блокстрим Грин
  • Кошелек Chia
  • Койноми
  • Доплата
  • Daedalus Mainnet
  • Даш Коре
  • Догекоин
  • Электронные деньги
  • Электрум
  • ElectrumLTC
  • Эфириум
  • Исход
  • GreenAddress
  • Гуарда
  • Рабочий стол Jaxx
  • Кошелек Комодо
  • Ledger Live
  • Кошелек Ledger
  • Litecoin Core
  • MEW Desktop
  • МультиДоге
  • MyEtherWallet
  • Кошелек NOW
  • Воронье ядро
  • StakeCube
  • Сюита Трезор
  • Кошелек с васаби

Наличие столь обширного списка подчеркивает сильную ориентацию вредоносной программы на финансовые кражи.

Расширенный сбор и утечка данных.

Помимо браузеров и криптовалютных кошельков, BoryptGrab собирает дополнительные данные из зараженной системы. Вредоносная программа ищет в распространенных каталогах файлы с определенными расширениями, которые могут содержать ценную информацию. Также целью вредоносных программ становятся приложения для обмена сообщениями и другие коммуникационные платформы.

Собранные данные могут включать файлы Telegram, сохраненные пароли браузера и, в более новых вариантах вредоносного ПО, токены аутентификации Discord. После завершения этапа сбора данных BoryptGrab делает снимок экрана рабочего стола жертвы и собирает общую информацию о системе скомпрометированного компьютера. Все собранные данные затем сжимаются в архив и передаются на сервер, контролируемый злоумышленниками.

Бэкдор TunnesshClient: удаленное управление и туннелирование трафика.

В некоторых версиях BoryptGrab используется дополнительный вредоносный инструмент, известный как TunnesshClient, хотя эта функция присутствует не во всех вариантах. TunnesshClient — это бэкдор на основе Python, предоставляющий злоумышленникам возможность удаленного выполнения команд.

Через этот бэкдор киберпреступники могут отдавать команды непосредственно зараженной системе. Инструмент также позволяет перенаправлять сетевой трафик через обратное SSH-соединение, что дает злоумышленникам возможность направлять интернет-активность через скомпрометированное устройство. Эта функциональность может использоваться для сокрытия вредоносных операций, проведения дальнейших атак или поддержания длительного присутствия в сети жертвы.

Последствия заражения BoryptGrab

Успешная атака BoryptGrab может привести к серьезным последствиям для жертв. Украденная информация часто включает учетные данные, личные данные и сведения о криптовалютных кошельках, которые могут быть немедленно использованы киберпреступниками.

К типичным последствиям подобных атак относятся:

  • Финансовые потери в результате кражи криптовалюты или взлома финансовых счетов.
  • Кража личных данных в результате утечки персональных данных или данных аутентификации.
  • Взлом онлайн-аккаунтов, таких как электронная почта, социальные сети или мессенджеры.
  • Вторичные заражения, осуществляемые через дополнительные компоненты вредоносного ПО.

Учитывая эти риски, немедленное удаление вредоносного ПО с зараженных устройств имеет решающее значение для ограничения дальнейшего ущерба.

Вектор заражения: вредоносные страницы GitHub и поддельные загрузки программного обеспечения.

Стратегия распространения BoryptGrab в значительной степени основана на социальной инженерии и манипулировании надежными платформами разработки. Киберпреступники создают общедоступные репозитории GitHub, которые выглядят как хранилища легитимных программных проектов. Эти репозитории часто содержат документацию, файлы и описания, имитирующие подлинные инструменты.

Для максимальной видимости злоумышленники используют методы поисковой оптимизации (SEO), чтобы продвинуть свои вредоносные репозитории и страницы GitHub выше в результатах поиска. Поэтому пользователи, ищущие программные утилиты, взломанные программы или игровые инструменты, могут столкнуться с этими вредоносными страницами в верхней части результатов поиска.

После открытия репозитория пользователи обычно перенаправляются на профессионально оформленный веб-сайт, имитирующий страницу загрузки настоящего программного обеспечения. На таких страницах часто рекламируются читы для игр, взломанные программы, ускорители FPS или утилиты, якобы изменяющие или позволяющие загружать такие приложения, как Filmora или Voicemod.

В конечном итоге сайт предоставляет ZIP-архив, который имитирует установочный файл программного обеспечения. После загрузки архива и запуска содержащихся в нем файлов активируется вредоносная программа, и начинается процесс заражения BoryptGrab.

В тренде

Critical-service.cc

Мошеннические сайты, Рекламное ПО, Браузерные хайджекеры
Посещение интернета требует постоянной бдительности. Киберпреступники постоянно разрабатывают обманные методы, чтобы заставить пользователей поставить под угрозу свою безопасность. В частности,...

Наиболее просматриваемые

Загрузка...