Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Vjedhësit BoryptGrab Stealer

BoryptGrab Stealer

Nga MezoVjedhësit, Kërcënimi i avancuar i vazhdueshëm (APT)
Përkthe në:

BoryptGrab është një program keqdashës i sofistikuar për vjedhjen e informacionit, i projektuar për të mbledhur të dhëna të ndjeshme nga sisteme të kompromentuara. Kërcënimi përhapet kryesisht përmes depove mashtruese të GitHub dhe faqeve mashtruese të shkarkimit që promovojnë mjete softuerësh falas. Këto faqe keqdashëse janë krijuar për t'u dukur të ligjshme, duke rritur mundësinë që përdoruesit e pavetëdijshëm të shkarkojnë dhe ekzekutojnë skedarët e infektuar.

Në disa zinxhirë sulmesh, BoryptGrab ofron gjithashtu një komponent shtesë keqdashës të njohur si TunnesshClient, një derë e pasme që mundëson akses në distancë dhe shfrytëzim të mëtejshëm të pajisjes së infektuar. Pasi zbulohet në një sistem, BoryptGrab ose çdo kërcënim i lidhur me të duhet të hiqet menjëherë për të parandaluar vjedhjen shtesë të të dhënave ose kompromentimin e sistemit.

Teknikat e Shmangies dhe Përshkallëzimi i Privilegjit

Përpara se të nisë ngarkesën e tij kryesore, BoryptGrab kryen disa kontrolle të dizajnuara për t'iu shmangur studiuesve të sigurisë dhe mjediseve të analizës së automatizuar. Malware inspekton skedarët e sistemit dhe cilësimet e konfigurimit për të përcaktuar nëse po funksionon brenda një makine virtuale. Mjedise të tilla përdoren zakonisht nga analistët e sigurisë dhe zbulimi i tyre i lejon malware-it të ndryshojë sjelljen e tij ose të ndalojë ekzekutimin.

Përveç zbulimit të makinës virtuale, programi keqdashës skanon proceset aktive për të identifikuar mjetet e njohura të analizës ose debugging-ut. Nëse zbulohen këto mjete, aktiviteti keqdashës mund të shtypet për të shmangur ekspozimin. Një hap tjetër i rëndësishëm në procesin e infektimit përfshin përpjekjet për të marrë privilegje administrative, duke i lejuar programit keqdashës të hyjë në zonat e mbrojtura të sistemit dhe të nxjerrë një gamë më të gjerë informacionesh të ndjeshme.

Aftësitë e mbledhjes së të dhënave të shfletuesit

Një objektiv kryesor i BoryptGrab është mbledhja e informacionit të ndjeshëm të ruajtur në shfletuesit e internetit. Malware synon shfletues të shumtë të përdorur gjerësisht, duke përfshirë Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi dhe Yandex Browser.

Llojet e informacionit të nxjerrë nga këta shfletues zakonisht përfshijnë kredencialet e hyrjes, të dhënat e plotësimit automatik, historikun e shfletimit dhe të dhëna të tjera personale të ruajtura. Për të ndihmuar në këtë proces, BoryptGrab shkarkon një mjet të specializuar të bazuar në Chromium që mundëson nxjerrjen efikase të të dhënave të shfletuesit. Kjo rrit ndjeshëm vëllimin e informacionit që mund të vidhet nga një sistem i kompromentuar.

Portofolet e kriptomonedhave nën sulm

Asetet e kriptomonedhave janë një tjetër objektiv kryesor i BoryptGrab. Malware kërkon të dhëna të ruajtura lokalisht që lidhen me portofolet e kriptomonedhave në desktop dhe zgjerimet e shfletuesit që lidhen me menaxhimin e aseteve dixhitale. Duke nxjerrë të dhënat e portofolit, sulmuesit mund të fitojnë aftësinë për të aksesuar ose transferuar fondet e ruajtura.

Malware synon posaçërisht një gamë të gjerë aplikacionesh për portofolet dhe shërbimet përkatëse, duke përfshirë:

  • Portofoli i Armaturës
  • Atomike
  • AtomicDEX
  • Binance
  • Bitcoin Core
  • BitPay
  • Blockstream Green
  • Portofoli Chia
  • Coinomi
  • Kopagim
  • Rrjeti kryesor i Daedalus
  • Dash Core
  • Dogecoin
  • Electron Cash
  • Elektrum
  • ElectrumLTC
  • Ethereum
  • Eksodi
  • Adresa e Gjelbër
  • Guarda
  • Jaxx Desktop
  • Portofol Komodo
  • Ledger Live
  • Portofoli i Ledger-it
  • Litecoin Core
  • MEW Desktop
  • MultiDoge
  • Portofolin timEther
  • TANI Portofoli
  • Raven Core
  • Kubi i Kunjit
  • Suita Trezor
  • Portofol Wasabi

Prania e një liste kaq të gjerë nxjerr në pah fokusin e fortë të malware-it në vjedhjen financiare.

Mbledhja dhe nxjerrja e zgjeruar e të dhënave

Përtej shfletuesve dhe portofoleve të kriptomonedhave, BoryptGrab mbledh të dhëna shtesë nga sistemi i infektuar. Malware kërkon në drejtoritë e zakonshme për skedarë me zgjerime specifike që mund të përmbajnë informacione të vlefshme. Aplikacionet e mesazheve dhe platformat e tjera të komunikimit janë gjithashtu në shënjestër.

Të dhënat e mbledhura mund të përfshijnë skedarë Telegram, fjalëkalime të ruajtura të shfletuesit dhe, në variantet më të reja të malware-it, tokena të vërtetimit të Discord. Pas përfundimit të fazës së mbledhjes së të dhënave, BoryptGrab kap një pamje të ekranit të desktopit të viktimës dhe përpilon informacionin e përgjithshëm të sistemit në lidhje me makinën e kompromentuar. Të gjitha të dhënat e mbledhura më pas kompresohen në një arkiv dhe transmetohen në një server të kontrolluar nga sulmuesit.

TunnesshClient Backdoor: Kontroll i Largët dhe Tunnelim i Trafikut

Disa versione të BoryptGrab përdorin një mjet shtesë keqdashës të njohur si TunnesshClient, megjithëse kjo veçori nuk është e pranishme në çdo variant. TunnesshClient është një derë e pasme e bazuar në Python që u ofron sulmuesve aftësi për ekzekutimin e komandave në distancë.

Përmes kësaj dere të pasme, kriminelët kibernetikë mund të lëshojnë komanda direkt në sistemin e infektuar. Mjeti gjithashtu mundëson përcjelljen e trafikut të rrjetit përmes një lidhjeje të kundërt SSH, duke u lejuar sulmuesve të drejtojnë aktivitetin e internetit përmes pajisjes së kompromentuar. Ky funksionalitet mund të përdoret për të fshehur operacione keqdashëse, për të kryer sulme të mëtejshme ose për të ruajtur qëndrueshmërinë afatgjatë brenda rrjetit të viktimës.

Pasojat e një infeksioni BoryptGrab

Një kompromentim i suksesshëm i BoryptGrab mund të çojë në pasoja të rënda për viktimat. Informacioni i vjedhur shpesh përfshin kredencialet, të dhënat personale dhe detajet e portofolit të kriptomonedhave, të cilat mund të shfrytëzohen menjëherë nga kriminelët kibernetikë.

Pasojat e zakonshme të një sulmi të tillë përfshijnë:

  • Humbjet financiare që vijnë nga vjedhja e kriptomonedhave ose llogaritë financiare të kompromentuara
  • Vjedhja e identitetit për shkak të rrjedhjes së të dhënave personale ose të autentifikimit
  • Llogaritë online të vjedhura, të tilla si emaili, mediat sociale ose platformat e mesazheve
  • Infeksione dytësore të transmetuara përmes komponentëve shtesë të malware-it

Duke pasur parasysh këto rreziqe, heqja e menjëhershme e malware-it nga pajisjet e infektuara është thelbësore për të kufizuar dëmet e mëtejshme.

Vektori i Infeksionit: Faqet e Dëmshme të GitHub dhe Shkarkimet e Softuerëve të Rreme

Strategjia e shpërndarjes që qëndron pas BoryptGrab mbështetet shumë në inxhinierinë sociale dhe manipulimin e platformave të besueshme të zhvillimit. Kriminelët kibernetikë krijojnë depo publike në GitHub që duket se strehojnë projekte legjitime softuerësh. Këto depo shpesh përmbajnë dokumentacion, skedarë dhe përshkrime të dizajnuara për të imituar mjete autentike.

Për të maksimizuar dukshmërinë, sulmuesit përdorin teknika të optimizimit të motorëve të kërkimit për të ngritur depot e tyre keqdashëse dhe faqet GitHub më lart në rezultatet e kërkimit. Përdoruesit që kërkojnë shërbime softuerësh, programe të hakuara ose mjete lojërash mund të hasin këto faqe keqdashëse pranë kryes së rezultateve të kërkimit.

Pasi hapet një depo, përdoruesit zakonisht ridrejtohen në një faqe interneti të dizajnuar profesionalisht që imiton një faqe autentike shkarkimi softuerësh. Këto faqe shpesh reklamojnë mashtrime për lojëra, programe të hakuara, përforcues FPS ose programe ndihmëse që pretendojnë se modifikojnë ose shkarkojnë aplikacione të tilla si Filmora ose Voicemod.

Faqja në fund të fundit ofron një arkiv ZIP që pretendon të përmbajë instaluesin e softuerit. Kur arkivi shkarkohet dhe skedarët e përfshirë ekzekutohen, ngarkesa keqdashëse aktivizohet dhe fillon procesi i infektimit BoryptGrab.

Në trend

Më e shikuara

Po ngarkohet...