BoryptGrab Stealer
BoryptGrab är en sofistikerad informationsstöld som är utformad för att samla in känsliga data från komprometterade system. Hotet sprids främst via bedrägliga GitHub-arkiv och vilseledande nedladdningssidor som marknadsför gratis programvaruverktyg. Dessa skadliga sidor är utformade för att verka legitima, vilket ökar sannolikheten för att intet ont anande användare laddar ner och kör de infekterade filerna.
I vissa attackkedjor levererar BoryptGrab också en ytterligare skadlig komponent som kallas TunnesshClient, en bakdörr som möjliggör fjärråtkomst och vidare utnyttjande av den infekterade enheten. När BoryptGrab eller något relaterat hot upptäcks i ett system måste det omedelbart tas bort för att förhindra ytterligare datastöld eller systemkompromettering.
Innehållsförteckning
Undvikningstekniker och privilegiumupptrappning
Innan den initierar sin huvudnyttolat utför BoryptGrab flera kontroller utformade för att undvika säkerhetsforskare och automatiserade analysmiljöer. Skadlig programvara inspekterar systemfiler och konfigurationsinställningar för att avgöra om den körs inuti en virtuell maskin. Sådana miljöer används ofta av säkerhetsanalytiker, och genom att upptäcka dem kan skadlig programvara ändra sitt beteende eller stoppa körningen.
Förutom att upptäcka virtuella maskiner skannar den skadliga programvaran aktiva processer för att identifiera kända analys- eller felsökningsverktyg. Om dessa verktyg upptäcks kan den skadliga aktiviteten undertryckas för att undvika exponering. Ett annat viktigt steg i infektionsprocessen involverar försök att få administratörsbehörighet, vilket gör att den skadliga programvaran kan komma åt skyddade systemområden och extrahera ett större utbud av känslig information.
Funktioner för insamling av webbläsardata
Ett primärt mål för BoryptGrab är att samla in känslig information som lagras i webbläsare. Skadlig programvara riktar sig mot ett flertal vanligt förekommande webbläsare, inklusive Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi och Yandex Browser.
Den typ av information som extraheras från dessa webbläsare inkluderar vanligtvis inloggningsuppgifter, autofyllningsdata, webbhistorik och annan lagrad personlig information. För att underlätta denna process laddar BoryptGrab ner ett specialiserat Chromium-baserat verktyg som möjliggör effektiv extrahering av webbläsardata. Detta ökar avsevärt mängden information som kan stjälas från ett komprometterat system.
Kryptovalutaplånböcker under attack
Kryptovalutatillgångar är ett annat viktigt mål för BoryptGrab. Skadlig programvara söker efter lokalt lagrad data relaterad till kryptovalutaplånböcker för stationära datorer och webbläsartillägg kopplade till hantering av digitala tillgångar. Genom att extrahera plånboksdata kan angripare få möjlighet att komma åt eller överföra lagrade medel.
Skadlig kod riktar sig specifikt mot ett brett utbud av plånboksapplikationer och relaterade tjänster, inklusive:
- Armory-plånbok
- Atom
- AtomicDEX
- Binance
- Bitcoin Core
- BitPay
- Blockstream Green
- Chia-plånbok
- Coinomi
- Sambetalning
- Daedalus Mainnet
- Dash Core
- Dogecoin
- Elektroniska kontanter
- Elektrum
- ElectrumLTC
- Ethereum
- Exodus
- Grönadress
- Guarda
- Jaxx Desktop
- Komodo-plånbok
- Ledger Live
- Ledger-plånbok
- Litecoin Core
- MEW-skrivbord
- MultiDoge
- MyEtherWallet
- NU Plånbok
- Raven Core
- StakeCube
- Trezor-sviten
- Wasabi-plånbok
Förekomsten av en så omfattande lista belyser skadlig programvaras starka fokus på ekonomisk stöld.
Utökad datainsamling och exfiltrering
Utöver webbläsare och kryptovalutaplånböcker samlar BoryptGrab in ytterligare data från det infekterade systemet. Skadlig programvara söker i vanliga kataloger efter filer med specifika filtillägg som kan innehålla värdefull information. Meddelandeapplikationer och andra kommunikationsplattformar är också måltavlor.
Den insamlade informationen kan inkludera Telegram-filer, lagrade webbläsarlösenord och, i nyare varianter av skadlig kod, Discord-autentiseringstokens. Efter att datainsamlingsfasen är avslutad tar BoryptGrab en skärmdump av offrets skrivbord och sammanställer allmän systeminformation om den komprometterade maskinen. All insamlad data komprimeras sedan till ett arkiv och överförs till en server som kontrolleras av angriparna.
TunnesshClient-bakdörr: Fjärrkontroll och trafiktunnling
Vissa versioner av BoryptGrab använder ytterligare ett skadligt verktyg som kallas TunnesshClient, även om den här funktionen inte finns i alla varianter. TunnesshClient är en Python-baserad bakdörr som ger angripare funktioner för fjärrkörning av kommandon.
Genom denna bakdörr kan cyberbrottslingar utfärda kommandon direkt till det infekterade systemet. Verktyget möjliggör också vidarebefordran av nätverkstrafik via en omvänd SSH-anslutning, vilket gör det möjligt för angripare att dirigera internetaktivitet genom den komprometterade enheten. Denna funktion kan användas för att dölja skadliga operationer, utföra ytterligare attacker eller upprätthålla långsiktig beständighet inom offrets nätverk.
Konsekvenser av en BoryptGrab-infektion
En lyckad BoryptGrab-invasion kan leda till allvarliga konsekvenser för offren. Den stulna informationen inkluderar ofta inloggningsuppgifter, personuppgifter och information om kryptovalutaplånböcker, vilka omedelbart kan utnyttjas av cyberbrottslingar.
Vanliga effekter av en sådan attack inkluderar:
- Ekonomiska förluster till följd av stulen kryptovaluta eller komprometterade finansiella konton
- Identitetsstöld på grund av läckta personuppgifter eller autentiseringsuppgifter
- Kapade onlinekonton som e-post, sociala medier eller meddelandeplattformar
- Sekundära infektioner levererade via ytterligare komponenter i skadlig kod
Med tanke på dessa risker är det viktigt att omedelbart ta bort skadlig kod från infekterade enheter för att begränsa ytterligare skador.
Infektionsvektor: Skadliga GitHub-sidor och falska programnedladdningar
Distributionsstrategin bakom BoryptGrab bygger i hög grad på social ingenjörskonst och manipulation av betrodda utvecklingsplattformar. Cyberbrottslingar skapar offentliga GitHub-arkiv som verkar vara värd för legitima programvaruprojekt. Dessa arkiv innehåller ofta dokumentation, filer och beskrivningar utformade för att efterlikna autentiska verktyg.
För att maximera synligheten använder angripare sökmotoroptimeringstekniker för att få sina skadliga databaser och GitHub-sidor högre upp i sökresultaten. Användare som söker efter programvaruverktyg, knäckta program eller spelverktyg kan därför stöta på dessa skadliga sidor nära toppen av sökresultaten.
När ett arkiv öppnas omdirigeras användare vanligtvis till en professionellt utformad webbplats som imiterar en autentisk nedladdningssida för programvara. Dessa sidor annonserar ofta spelfusk, knäckta program, FPS-boosters eller verktyg som påstår sig modifiera eller ladda ner applikationer som Filmora eller Voicemod.
Webbplatsen tillhandahåller slutligen ett ZIP-arkiv som låtsas innehålla programvaruinstallationsprogrammet. När arkivet laddas ner och de inkluderade filerna körs aktiveras den skadliga nyttolasten och BoryptGrab-infektionsprocessen börjar.
