Попуст за више лиценци
Тхреат Датабасе Крадљивци БориптГраб крадљивац

БориптГраб крадљивац

До Mezo. у Крадљивци, Напредна трајна претња (АПТ)
Преведи на:

BoryptGrab је софистицирани злонамерни софтвер за крађу информација, дизајниран за прикупљање осетљивих података из компромитованих система. Претња се првенствено шири путем лажних GitHub репозиторијума и обмањујућих страница за преузимање које промовишу бесплатне софтверске алате. Ове злонамерне странице су направљене тако да изгледају легитимно, повећавајући вероватноћу да ће неслутећи корисници преузети и покренути заражене датотеке.

У одређеним ланцима напада, BoryptGrab такође испоручује додатну злонамерну компоненту познату као TunnesshClient, задња врата која омогућавају даљински приступ и даље искоришћавање зараженог уређаја. Једном када се открију на систему, BoryptGrab или било која повезана претња морају се одмах уклонити како би се спречила додатна крађа података или компромитовање система.

Технике избегавања и ескалација привилегија

Пре него што покрене свој главни корисни садржај, BoryptGrab врши неколико провера осмишљених да избегне истраживаче безбедности и аутоматизована окружења за анализу. Злонамерни софтвер прегледа системске датотеке и подешавања конфигурације како би утврдио да ли се покреће унутар виртуелне машине. Таква окружења обично користе аналитичари безбедности, а њихово откривање омогућава злонамерном софтверу да промени своје понашање или заустави извршавање.

Поред детекције виртуелних машина, злонамерни софтвер скенира активне процесе како би идентификовао познате алате за анализу или отклањање грешака. Ако се ови алати открију, злонамерна активност може бити сузбијена како би се избегло излагање. Још један важан корак у процесу инфекције укључује покушаје добијања администраторских привилегија, што злонамерном софтверу омогућава приступ заштићеним областима система и издвајање ширег спектра осетљивих информација.

Могућности прикупљања података из прегледача

Примарни циљ BoryptGrab-а је прикупљање осетљивих информација сачуваних у веб прегледачима. Злонамерни софтвер циља бројне широко коришћене прегледаче, укључујући Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi и Yandex Browser.

Врсте информација које се извлаче из ових прегледача обично укључују податке за пријаву, податке за аутоматско попуњавање, историју прегледања и друге сачуване личне податке. Да би помогао у овом процесу, BoryptGrab преузима специјализовани алат заснован на Chromium-у који омогућава ефикасно издвајање података прегледача. Ово значајно повећава количину информација које се могу украсти из компромитованог система.

Крипто новчаници под нападом

Криптовалуте су још једна главна мета BoryptGrab-а. Злонамерни софтвер претражује локално сачуване податке везане за десктоп криптовалуте новчанике и екстензије прегледача повезане са управљањем дигиталном имовином. Издвајањем података из новчаника, нападачи могу добити могућност приступа или преноса сачуваних средстава.

Злонамерни софтвер посебно циља широк спектар апликација за новчанике и повезаних услуга, укључујући:

  • Армори новчаник
  • Атомски
  • АтомикДЕКС
  • Бинанс
  • Биткоин језгро
  • БитПеј
  • Блокстрим Грин
  • Чиа новчаник
  • Коиноми
  • Доплата
  • Дедалус главна мрежа
  • Даш језгро
  • Догекоин
  • Електронска готовина
  • Електрум
  • ЕлектрумЛТЦ
  • Етереум
  • Излазак
  • Зелена адреса
  • Гуарда
  • Џекс Десктоп
  • Комодо новчаник
  • Леџер Лајв
  • Леџер новчаник
  • Лајткоин језгро
  • MEW радна површина
  • МултиДоџ
  • МојЕтерНовчаник
  • САДА новчаник
  • Рејвен Кор
  • СтејкКјуб
  • Трезор апартман
  • Васаби новчаник

Присуство тако опсежне листе истиче снажан фокус злонамерног софтвера на финансијску крађу.

Проширено прикупљање података и извлачење података

Поред прегледача и криптовалутних новчаника, BoryptGrab прикупља додатне податке са зараженог система. Злонамерни софтвер претражује уобичајене директоријуме за датотеке са одређеним екстензијама које могу садржати вредне информације. Апликације за размену порука и друге комуникационе платформе су такође на мети.

Прикупљени подаци могу да укључују Телеграм датотеке, сачуване лозинке прегледача и, у новијим варијантама злонамерног софтвера, Дискорд токене за аутентификацију. Након завршетка фазе прикупљања података, БориптГраб прави снимак екрана радне површине жртве и саставља опште системске информације о угроженој машини. Сви прикупљени подаци се затим компресују у архиву и преносе на сервер којим управљају нападачи.

TunnesshClient Backdoor: Даљинско управљање и тунелирање саобраћаја

Неке верзије BoryptGrab-а користе додатни злонамерни алат познат као TunnesshClient, иако ова функција није присутна у свакој варијанти. TunnesshClient је бекдор базиран на Пајтону који пружа нападачима могућности даљинског извршавања команди.

Преко овог бацкдоора, сајбер криминалци могу издавати команде директно зараженом систему. Алат такође омогућава прослеђивање мрежног саобраћаја путем обрнуте SSH везе, што дозвољава нападачима да усмере интернет активност кроз угрожени уређај. Ова функционалност се може користити за скривање злонамерних операција, спровођење даљих напада или дугорочно одржавање присуства унутар мреже жртве.

Последице инфекције BoryptGrab-ом

Успешна компромитација BoryptGrab-а може довести до озбиљних последица за жртве. Украдене информације често укључују акредитиве, личне податке и детаље о криптовалутним новчаницима, које сајбер криминалци могу одмах искористити.

Уобичајене последице таквог напада укључују:

  • Финансијски губици настали услед крађе криптовалуте или угрожених финансијских рачуна
  • Крађа идентитета због цурења личних или аутентификационих података
  • Отети онлајн налози као што су имејл, друштвене мреже или платформе за размену порука
  • Секундарне инфекције се јављају путем додатних компоненти злонамерног софтвера

С обзиром на ове ризике, тренутно уклањање злонамерног софтвера са заражених уређаја је неопходно како би се ограничила даља штета.

Вектор инфекције: Злонамерне странице са ГитХаба и преузимања лажног софтвера

Стратегија дистрибуције која стоји иза BoryptGrab-а у великој мери се ослања на друштвени инжењеринг и манипулацију поузданим развојним платформама. Сајбер криминалци креирају јавне GitHub репозиторијуме који изгледају као да садрже легитимне софтверске пројекте. Ови репозиторијуми често садрже документацију, датотеке и описе дизајниране да имитирају аутентичне алате.

Да би максимизирали видљивост, нападачи користе технике оптимизације за претраживаче како би подигли своје злонамерне репозиторијуме и GitHub странице на виши ниво у резултатима претраге. Корисници који траже софтверске алате, крековане програме или алате за игре стога могу наићи на ове злонамерне странице при врху резултата претраге.

Када се спремиште отвори, корисници се обично преусмеравају на професионално дизајнирану веб страницу која имитира аутентичну страницу за преузимање софтвера. Ове странице често рекламирају варалице за игре, крековане програме, појачиваче FPS-а или услужне програме који тврде да модификују или преузимају апликације као што су Filmora или Voicemod.

Сајт на крају пружа ZIP архиву која се претвара да садржи инсталатер софтвера. Када се архива преузме и укључене датотеке покрену, злонамерни садржај се активира и почиње процес инфекције BoryptGrab-ом.

У тренду

Најгледанији

Злонамерних програма

Пецање, Спам
21,503
Порука о превари „Аппле Паи суспендован“ је врста тактике „пецања“ која циља кориснике Аппле Паи-а. У поруци се тврди да је корисников Аппле Паи новчаник суспендован и позива их да кликну на везу како би га вратили. Међутим, клик на везу одвешће корисника на лажну веб локацију која је дизајнирана да украде њихове личне и финансијске податке. Ако корисник постане жртва ове шеме, последице могу...
Учитавање...