Popust za več licenc
Podjetje o grožnjah Tatovi BoryptGrab Stealer

BoryptGrab Stealer

Do leta Mezo leta Tatovi, Napredna trajna grožnja (APT)
Prevedi v:

BoryptGrab je sofisticirana zlonamerna programska oprema za krajo informacij, zasnovana za pridobivanje občutljivih podatkov iz ogroženih sistemov. Grožnja se širi predvsem prek goljufivih repozitorijev GitHub in zavajajočih strani za prenos, ki promovirajo brezplačna programska orodja. Te zlonamerne strani so oblikovane tako, da so videti legitimne, kar povečuje verjetnost, da bodo nič hudega sluteči uporabniki prenesli in zagnali okužene datoteke.

V nekaterih napadalnih verigah BoryptGrab dostavi tudi dodatno zlonamerno komponento, znano kot TunnesshClient, zadnja vrata, ki omogočajo oddaljeni dostop in nadaljnje izkoriščanje okužene naprave. Ko je BoryptGrab ali katera koli z njim povezana grožnja zaznana v sistemu, jo je treba takoj odstraniti, da se prepreči nadaljnja kraje podatkov ali ogrožanje sistema.

Tehnike izogibanja in stopnjevanje privilegijev

Preden BoryptGrab zažene svojo glavno koristno obremenitev, izvede več preverjanj, namenjenih izogibanju varnostnim raziskovalcem in avtomatiziranim analitičnim okoljem. Zlonamerna programska oprema pregleda sistemske datoteke in konfiguracijske nastavitve, da ugotovi, ali se izvaja znotraj virtualnega stroja. Takšna okolja pogosto uporabljajo varnostni analitiki, njihovo odkrivanje pa zlonamerni programski opremi omogoča, da spremeni svoje vedenje ali ustavi izvajanje.

Poleg zaznavanja virtualnih strojev zlonamerna programska oprema skenira aktivne procese, da bi prepoznala znana orodja za analizo ali odpravljanje napak. Če so ta orodja zaznana, se lahko zlonamerna dejavnost zatre, da se prepreči izpostavljenost. Drug pomemben korak v procesu okužbe so poskusi pridobitve skrbniških pravic, ki zlonamerni programski opremi omogočajo dostop do zaščitenih sistemskih območij in pridobivanje širšega nabora občutljivih informacij.

Zmogljivosti zbiranja podatkov brskalnika

Glavni cilj BoryptGraba je zbiranje občutljivih podatkov, shranjenih v spletnih brskalnikih. Zlonamerna programska oprema cilja na številne pogosto uporabljene brskalnike, vključno z Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi in Yandex Browser.

Vrste informacij, pridobljenih iz teh brskalnikov, običajno vključujejo prijavne poverilnice, podatke za samodejno izpolnjevanje, zgodovino brskanja in druge shranjene osebne podatke. Za pomoč pri tem procesu BoryptGrab prenese specializirano orodje, ki temelji na Chromiumu in omogoča učinkovito pridobivanje podatkov brskalnika. To znatno poveča količino informacij, ki jih je mogoče ukrasti iz ogroženega sistema.

Napad na denarnice s kriptovalutami

Kriptovalutna sredstva so še ena pomembna tarča BoryptGraba. Zlonamerna programska oprema išče lokalno shranjene podatke, povezane z denarnicami kriptovalut za namizne računalnike in razširitvami brskalnika, povezanimi z upravljanjem digitalnih sredstev. Z izvlečenjem podatkov denarnic lahko napadalci pridobijo možnost dostopa do shranjenih sredstev ali njihovega prenosa.

Zlonamerna programska oprema cilja na širok nabor aplikacij za denarnice in sorodnih storitev, vključno z:

  • Denarnica Armory
  • Atomsko
  • AtomicDEX
  • Binance
  • Bitcoin jedro
  • BitPay
  • Blockstream Green
  • Chia denarnica
  • Coinomi
  • Doplačilo
  • Daedalusovo glavno omrežje
  • Jedro nadzorne plošče
  • Dogecoin
  • Elektronska gotovina
  • Elektrum
  • ElectrumLTC
  • Ethereum
  • Eksodus
  • Zeleni naslov
  • Guarda
  • Jaxx Desktop
  • Komodo denarnica
  • Ledger v živo
  • Denarnica Ledger
  • Jedro Litecoina
  • Namizje MEW
  • Večdoge
  • Moja denarnica EtherWallet
  • ZDAJ Denarnica
  • Raven Core
  • StakeCube
  • Suita Trezor
  • Denarnica z wasabijem

Prisotnost tako obsežnega seznama poudarja močno osredotočenost zlonamerne programske opreme na finančno krajo.

Razširjeno zbiranje in izvlečenje podatkov

Poleg brskalnikov in denarnic za kriptovalute BoryptGrab zbira tudi dodatne podatke iz okuženega sistema. Zlonamerna programska oprema išče v običajnih imenikih datoteke z določenimi končnicami, ki lahko vsebujejo dragocene informacije. Tarča so tudi aplikacije za sporočanje in druge komunikacijske platforme.

Zbrani podatki lahko vključujejo datoteke Telegrama, shranjena gesla brskalnika in v novejših različicah zlonamerne programske opreme žetone za preverjanje pristnosti Discorda. Po zaključku faze zbiranja podatkov BoryptGrab zajame posnetek zaslona namizja žrtve in zbere splošne sistemske informacije o ogroženem računalniku. Vsi zbrani podatki se nato stisnejo v arhiv in prenesejo na strežnik, ki ga nadzorujejo napadalci.

Zadnja vrata TunnesshClient: Daljinsko upravljanje in tuneliranje prometa

Nekatere različice BoryptGrab uporabljajo dodatno zlonamerno orodje, znano kot TunnesshClient, čeprav ta funkcija ni prisotna v vsaki različici. TunnesshClient so zadnja vrata, ki temeljijo na Pythonu in napadalcem omogočajo izvajanje oddaljenih ukazov.

Skozi ta zadnja vrata lahko kibernetski kriminalci izdajajo ukaze neposredno okuženemu sistemu. Orodje omogoča tudi posredovanje omrežnega prometa prek obratne povezave SSH, kar napadalcem omogoča usmerjanje internetne aktivnosti prek ogrožene naprave. Ta funkcionalnost se lahko uporabi za skrivanje zlonamernih operacij, izvajanje nadaljnjih napadov ali dolgoročno ohranjanje prisotnosti v omrežju žrtve.

Posledice okužbe z BoryptGrab

Uspešen vdor v BoryptGrab lahko povzroči hude posledice za žrtve. Ukradeni podatki pogosto vključujejo poverilnice, osebne podatke in podrobnosti o denarnici s kriptovalutami, ki jih lahko kibernetski kriminalci takoj izkoristijo.

Pogosti učinki takšnega napada vključujejo:

  • Finančne izgube zaradi ukradene kriptovalute ali ogroženih finančnih računov
  • Kraja identitete zaradi uhajanja osebnih ali avtentikacijskih podatkov
  • Ukradeni spletni računi, kot so e-pošta, družbeni mediji ali platforme za sporočanje
  • Sekundarne okužbe, ki jih povzročajo dodatne komponente zlonamerne programske opreme

Glede na ta tveganja je takojšnja odstranitev zlonamerne programske opreme iz okuženih naprav bistvenega pomena za omejitev nadaljnje škode.

Vektor okužbe: Zlonamerne strani GitHub in prenosi lažne programske opreme

Strategija distribucije, ki stoji za BoryptGrabom, se močno opira na socialni inženiring in manipulacijo zaupanja vrednih razvojnih platform. Kibernetski kriminalci ustvarjajo javna skladišča GitHub, ki so videti kot legitimni programski projekti. Ta skladišča pogosto vsebujejo dokumentacijo, datoteke in opise, zasnovane tako, da posnemajo pristna orodja.

Za povečanje prepoznavnosti napadalci uporabljajo tehnike optimizacije iskalnikov, da svoje zlonamerne repozitorije in strani GitHub uvrstijo višje v rezultatih iskanja. Uporabniki, ki iščejo programske pripomočke, razpokane programe ali igralna orodja, lahko zato naletijo na te zlonamerne strani blizu vrha rezultatov iskanja.

Ko je repozitorij odprt, so uporabniki običajno preusmerjeni na profesionalno oblikovano spletno mesto, ki posnema pristno stran za prenos programske opreme. Te strani pogosto oglašujejo igralne goljufije, razpokane programe, pospeševalnike FPS ali pripomočke, ki trdijo, da spreminjajo ali prenašajo aplikacije, kot sta Filmora ali Voicemod.

Spletno mesto na koncu ponuja ZIP arhiv, ki se pretvarja, da vsebuje namestitveni program programske opreme. Ko se arhiv prenese in se priložene datoteke zaženejo, se aktivira zlonamerna programska oprema in začne se proces okužbe z BoryptGrab.

V trendu

Najbolj gledan

Nalaganje...