Multilicenčná zľavová ponuka
Databáza hrozieb Zlodeji Zlodej BoryptGrab

Zlodej BoryptGrab

Do roku Mezo v roku Zlodeji, Pokročilá perzistentná hrozba (APT)
Preložiť do:

BoryptGrab je sofistikovaný malvér na krádež informácií, ktorý je navrhnutý tak, aby zhromažďoval citlivé údaje z napadnutých systémov. Hrozba sa šíri predovšetkým prostredníctvom podvodných repozitárov GitHub a klamlivých stránok na stiahnutie, ktoré propagujú bezplatné softvérové nástroje. Tieto škodlivé stránky sú vytvorené tak, aby vyzerali legitímne, čím sa zvyšuje pravdepodobnosť, že nič netušiaci používatelia si stiahnu a spustia infikované súbory.

V určitých útočných reťazcoch BoryptGrab dodáva aj ďalší škodlivý komponent známy ako TunnesshClient, čo je zadné vrátko, ktoré umožňuje vzdialený prístup a ďalšie zneužitie infikovaného zariadenia. Po zistení v systéme musí byť BoryptGrab alebo akákoľvek súvisiaca hrozba okamžite odstránená, aby sa predišlo ďalšej krádeži údajov alebo kompromitácii systému.

Techniky úniku a eskalácia privilégií

Pred spustením svojej hlavnej úlohy vykonáva BoryptGrab niekoľko kontrol určených na obídenie bezpečnostných analytikov a automatizovaných analytických prostredí. Škodlivý softvér kontroluje systémové súbory a konfiguračné nastavenia, aby zistil, či beží vo virtuálnom počítači. Takéto prostredia bežne používajú bezpečnostní analytici a ich detekcia umožňuje škodlivému softvéru zmeniť jeho správanie alebo zastaviť vykonávanie.

Okrem detekcie virtuálnych počítačov malvér skenuje aj aktívne procesy, aby identifikoval známe analytické alebo ladiace nástroje. Ak sa tieto nástroje zistia, škodlivá aktivita môže byť potlačená, aby sa predišlo odhaleniu. Ďalším dôležitým krokom v procese infikovania sú pokusy o získanie administrátorských oprávnení, ktoré malvéru umožňujú prístup k chráneným systémovým oblastiam a extrahovanie širšej škály citlivých informácií.

Možnosti zberu údajov z prehliadača

Hlavným cieľom BoryptGrabu je zhromažďovanie citlivých informácií uložených vo webových prehliadačoch. Malvér sa zameriava na množstvo bežne používaných prehliadačov vrátane Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi a Yandex Browser.

Typy informácií extrahovaných z týchto prehliadačov zvyčajne zahŕňajú prihlasovacie údaje, údaje automatického dopĺňania, históriu prehliadania a ďalšie uložené osobné údaje. Na pomoc v tomto procese si BoryptGrab stiahne špecializovaný nástroj založený na prehliadači Chromium, ktorý umožňuje efektívnu extrakciu údajov prehliadača. To výrazne zvyšuje objem informácií, ktoré je možné ukradnúť z napadnutého systému.

Kryptomenové peňaženky pod útokom

Ďalším hlavným cieľom BoryptGrabu sú kryptomenové aktíva. Malvér vyhľadáva lokálne uložené údaje súvisiace s kryptomenovými peňaženkami pre počítače a rozšíreniami prehliadača spojenými so správou digitálnych aktív. Extrakciou údajov z peňaženiek môžu útočníci získať prístup k uloženým finančným prostriedkom alebo ich preniesť.

Malvér sa konkrétne zameriava na širokú škálu aplikácií peňaženiek a súvisiacich služieb vrátane:

  • Peňaženka Armory
  • Atómový
  • AtomicDEX
  • Binance
  • Bitcoinové jadro
  • BitPay
  • Blockstream Green
  • Peňaženka Chia
  • Coinomi
  • Doplatok
  • Hlavná sieť Daedalus
  • Jadro Dash
  • Dogecoin
  • Elektronická hotovosť
  • Elektrum
  • ElectrumLTC
  • Ethereum
  • Exodus
  • Zelená adresa
  • Guarda
  • Jaxx Desktop
  • Peňaženka Komodo
  • Ledger Live
  • Peňaženka Ledger
  • Jadro Litecoinu
  • Pracovná plocha MEW
  • MultiDoge
  • Moja peňaženka EtherWallet
  • Peňaženka TERAZ
  • Raven Core
  • StakeCube
  • Apartmán Trezor
  • Peňaženka s wasabi

Prítomnosť takého rozsiahleho zoznamu zdôrazňuje silné zameranie škodlivého softvéru na finančné krádeže.

Rozšírený zber a exfiltrácia údajov

Okrem prehliadačov a kryptomenových peňaženiek zhromažďuje BoryptGrab aj ďalšie údaje z infikovaného systému. Malvér prehľadáva bežné adresáre a hľadá súbory so špecifickými príponami, ktoré môžu obsahovať cenné informácie. Cieľom sú aj aplikácie na odosielanie správ a iné komunikačné platformy.

Zhromaždené údaje môžu zahŕňať súbory Telegramu, uložené heslá prehliadača a v novších variantoch malvéru aj autentifikačné tokeny Discordu. Po dokončení fázy zhromažďovania údajov BoryptGrab zachytí snímku obrazovky pracovnej plochy obete a zhromaždí všeobecné systémové informácie o napadnutom počítači. Všetky zozbierané údaje sa potom komprimujú do archívu a prenesú na server ovládaný útočníkmi.

TunnesshClient Backdoor: Diaľkové ovládanie a tunelovanie prevádzky

Niektoré verzie BoryptGrabu nasadzujú ďalší škodlivý nástroj známy ako TunnesshClient, hoci táto funkcia nie je prítomná v každej variante. TunnesshClient sú zadné vrátka založené na jazyku Python, ktoré útočníkom poskytujú možnosti vzdialeného vykonávania príkazov.

Prostredníctvom týchto zadných vrátok môžu kyberzločinci vydávať príkazy priamo infikovanému systému. Nástroj tiež umožňuje presmerovanie sieťovej prevádzky cez reverzné SSH pripojenie, čo útočníkom umožňuje smerovať internetovú aktivitu cez napadnuté zariadenie. Táto funkcia sa môže použiť na skrytie škodlivých operácií, vykonávanie ďalších útokov alebo na dlhodobé udržiavanie siete v sieti obete.

Dôsledky infekcie BoryptGrab

Úspešné narušenie BoryptGrab môže mať pre obete vážne následky. Ukradnuté informácie často zahŕňajú prihlasovacie údaje, osobné údaje a podrobnosti o kryptomenových peňaženkách, ktoré môžu kyberzločinci okamžite zneužiť.

Medzi bežné dôsledky takéhoto útoku patria:

  • Finančné straty vyplývajúce z ukradnutej kryptomeny alebo kompromitovaných finančných účtov
  • Krádež identity v dôsledku úniku osobných alebo autentifikačných údajov
  • Ukradnuté online účty, ako sú e-maily, sociálne médiá alebo platformy na odosielanie správ
  • Sekundárne infekcie spôsobené ďalšími komponentmi škodlivého softvéru

Vzhľadom na tieto riziká je okamžité odstránenie škodlivého softvéru z infikovaných zariadení nevyhnutné na obmedzenie ďalších škôd.

Vektor infekcie: Škodlivé stránky GitHub a sťahovanie falošného softvéru

Distribučná stratégia škodlivého softvéru BoryptGrab sa vo veľkej miere spolieha na sociálne inžinierstvo a manipuláciu s dôveryhodnými vývojovými platformami. Kyberzločinci vytvárajú verejné repozitáre GitHub, ktoré zdanlivo hostia legitímne softvérové projekty. Tieto repozitáre často obsahujú dokumentáciu, súbory a popisy určené na napodobňovanie autentických nástrojov.

Aby útočníci maximalizovali viditeľnosť, používajú techniky optimalizácie pre vyhľadávače, aby posunuli svoje škodlivé repozitáre a stránky GitHub vyššie vo výsledkoch vyhľadávania. Používatelia, ktorí hľadajú softvérové nástroje, cracknuty programy alebo herné nástroje, sa preto môžu s týmito škodlivými stránkami stretnúť v hornej časti výsledkov vyhľadávania.

Po otvorení repozitára sú používatelia zvyčajne presmerovaní na profesionálne navrhnutú webovú stránku, ktorá napodobňuje autentickú stránku na sťahovanie softvéru. Tieto stránky často propagujú herné cheaty, cracknuty, programy na zvýšenie FPS alebo nástroje, ktoré tvrdia, že upravujú alebo sťahujú aplikácie, ako napríklad Filmora alebo Voicemod.

Stránka nakoniec poskytuje ZIP archív, ktorý predstiera, že obsahuje inštalačný program softvéru. Po stiahnutí archívu a spustení priložených súborov sa aktivuje škodlivý obsah a spustí sa proces infikovania BoryptGrab.

Trendy

Najviac videné

Načítava...