ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม นักขโมย BoryptGrab Stealer

BoryptGrab Stealer

โดย Mezo ใน นักขโมย, ภัยคุกคามขั้นสูงที่คงอยู่ (APT)
แปลเป็น:

BoryptGrab เป็นมัลแวร์ขโมยข้อมูลที่ซับซ้อน ออกแบบมาเพื่อเก็บเกี่ยวข้อมูลสำคัญจากระบบที่ถูกโจมตี ภัยคุกคามนี้แพร่กระจายหลักๆ ผ่านทางคลังเก็บข้อมูล GitHub ปลอมและหน้าดาวน์โหลดหลอกลวงที่โฆษณาเครื่องมือซอฟต์แวร์ฟรี หน้าเว็บที่เป็นอันตรายเหล่านี้ถูกสร้างขึ้นมาให้ดูเหมือนถูกต้องตามกฎหมาย เพิ่มโอกาสที่ผู้ใช้ที่ไม่ระมัดระวังจะดาวน์โหลดและเรียกใช้ไฟล์ที่ติดไวรัส

ในบางชุดการโจมตี BoryptGrab ยังส่งส่วนประกอบที่เป็นอันตรายเพิ่มเติมที่เรียกว่า TunnesshClient ซึ่งเป็นแบ็กดอร์ที่ช่วยให้สามารถเข้าถึงจากระยะไกลและใช้ประโยชน์จากอุปกรณ์ที่ติดไวรัสได้มากขึ้น เมื่อตรวจพบ BoryptGrab หรือภัยคุกคามที่เกี่ยวข้องใดๆ ในระบบแล้ว จะต้องกำจัดออกทันทีเพื่อป้องกันการขโมยข้อมูลเพิ่มเติมหรือการโจมตีระบบ

เทคนิคการหลบเลี่ยงและการยกระดับสิทธิ์

ก่อนที่จะเริ่มการทำงานของมัลแวร์หลัก BoryptGrab จะทำการตรวจสอบหลายอย่างที่ออกแบบมาเพื่อหลบเลี่ยงนักวิจัยด้านความปลอดภัยและสภาพแวดล้อมการวิเคราะห์อัตโนมัติ มัลแวร์จะตรวจสอบไฟล์ระบบและการตั้งค่าต่างๆ เพื่อพิจารณาว่ากำลังทำงานอยู่ภายในเครื่องเสมือนหรือไม่ สภาพแวดล้อมดังกล่าวเป็นสิ่งที่นักวิเคราะห์ด้านความปลอดภัยใช้กันทั่วไป และการตรวจพบสภาพแวดล้อมเหล่านี้จะช่วยให้มัลแวร์สามารถเปลี่ยนแปลงพฤติกรรมหรือหยุดการทำงานได้

นอกจากการตรวจจับเครื่องเสมือนแล้ว มัลแวร์ยังสแกนกระบวนการทำงานเพื่อระบุเครื่องมือวิเคราะห์หรือดีบักที่รู้จัก หากตรวจพบเครื่องมือเหล่านี้ กิจกรรมที่เป็นอันตรายอาจถูกระงับเพื่อหลีกเลี่ยงการเปิดเผย อีกขั้นตอนสำคัญในกระบวนการติดเชื้อคือการพยายามขอสิทธิ์ผู้ดูแลระบบ ซึ่งจะทำให้มัลแวร์สามารถเข้าถึงพื้นที่ระบบที่ได้รับการป้องกันและดึงข้อมูลสำคัญได้หลากหลายมากขึ้น

ความสามารถในการเก็บรวบรวมข้อมูลจากเบราว์เซอร์

เป้าหมายหลักของ BoryptGrab คือการรวบรวมข้อมูลสำคัญที่จัดเก็บไว้ในเว็บเบราว์เซอร์ มัลแวร์นี้มุ่งเป้าไปที่เบราว์เซอร์ที่ใช้กันอย่างแพร่หลายหลายตัว รวมถึง Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi และ Yandex Browser

โดยทั่วไป ข้อมูลที่ถูกดึงออกมาจากเบราว์เซอร์เหล่านี้มักประกอบด้วยข้อมูลการเข้าสู่ระบบ ข้อมูลการกรอกอัตโนมัติ ประวัติการท่องเว็บ และข้อมูลส่วนบุคคลอื่นๆ ที่จัดเก็บไว้ เพื่อช่วยในกระบวนการนี้ BoryptGrab จะดาวน์โหลดเครื่องมือพิเศษที่ใช้ Chromium เป็นพื้นฐาน ซึ่งช่วยให้การดึงข้อมูลจากเบราว์เซอร์มีประสิทธิภาพมากขึ้น ส่งผลให้ปริมาณข้อมูลที่สามารถขโมยได้จากระบบที่ถูกโจมตีเพิ่มขึ้นอย่างมาก

กระเป๋าเงินคริปโตเคอร์เรนซีตกเป็นเป้าหมายของการโจมตี

สินทรัพย์คริปโตเคอร์เรนซีเป็นเป้าหมายสำคัญอีกอย่างหนึ่งของ BoryptGrab มัลแวร์นี้จะค้นหาข้อมูลที่จัดเก็บไว้ในเครื่องที่เกี่ยวข้องกับกระเป๋าเงินคริปโตเคอร์เรนซีบนเดสก์ท็อปและส่วนขยายเบราว์เซอร์ที่เกี่ยวข้องกับการจัดการสินทรัพย์ดิจิทัล โดยการดึงข้อมูลกระเป๋าเงินออกมา ผู้โจมตีอาจสามารถเข้าถึงหรือโอนเงินที่จัดเก็บไว้ได้

มัลแวร์นี้มุ่งเป้าไปที่แอปพลิเคชันกระเป๋าเงินดิจิทัลและบริการที่เกี่ยวข้องหลากหลายประเภทโดยเฉพาะ ซึ่งรวมถึง:

  • กระเป๋าเงินอาร์มอรี
  • อะตอม
  • อะตอมิกเดกซ์
  • บินแอนซ์
  • บิตคอยน์คอร์
  • บิตเพย์
  • บล็อกสตรีม กรีน
  • กระเป๋าเงินเชีย
  • คอยโนมิ
  • ค่าใช้จ่ายร่วม
  • เครือข่ายหลักเดดาลัส
  • แดชคอร์
  • โดเกคอยน์
  • อิเล็กตรอนแคช
  • อิเล็กตรัม
  • อิเล็กตรัมแอลทีซี
  • อีเธอร์เรียม
  • อพยพ
  • กรีนแอดเดรส
  • กวาร์ดา
  • แจ็กซ์ เดสก์ท็อป
  • กระเป๋าสตางค์โคโมโด
  • เลดเจอร์ไลฟ์
  • กระเป๋าเงิน Ledger
  • ไลต์คอยน์ คอร์
  • เดสก์ท็อป MEW
  • มัลติด็อก
  • มายอีเธอร์วอลเล็ต
  • NOW Wallet
  • เรเวน คอร์
  • สเตคคิวบ์
  • ห้องสวีทเทรเซอร์
  • กระเป๋าสตางค์วาซาบิ

การมีรายชื่อที่ยาวเหยียดเช่นนี้ แสดงให้เห็นว่ามัลแวร์นี้มุ่งเน้นอย่างมากไปที่การโจรกรรมทางการเงิน

การรวบรวมและการรั่วไหลของข้อมูลที่ขยายวงกว้างขึ้น

นอกเหนือจากเว็บเบราว์เซอร์และกระเป๋าเงินดิจิทัลแล้ว BoryptGrab ยังรวบรวมข้อมูลเพิ่มเติมจากระบบที่ติดมัลแวร์อีกด้วย มัลแวร์นี้จะค้นหาไฟล์ที่มีนามสกุลเฉพาะในไดเร็กทอรีทั่วไป ซึ่งอาจมีข้อมูลที่มีค่าอยู่ แอปพลิเคชันส่งข้อความและแพลตฟอร์มการสื่อสารอื่นๆ ก็ตกเป็นเป้าหมายเช่นกัน

ข้อมูลที่รวบรวมได้อาจรวมถึงไฟล์ Telegram รหัสผ่านเบราว์เซอร์ที่บันทึกไว้ และในเวอร์ชันใหม่กว่าของมัลแวร์ อาจรวมถึงโทเค็นการตรวจสอบสิทธิ์ของ Discord ด้วย หลังจากเสร็จสิ้นขั้นตอนการรวบรวมข้อมูล BoryptGrab จะจับภาพหน้าจอเดสก์ท็อปของเหยื่อและรวบรวมข้อมูลระบบทั่วไปเกี่ยวกับเครื่องที่ถูกโจมตี จากนั้นข้อมูลทั้งหมดที่รวบรวมได้จะถูกบีบอัดเป็นไฟล์เก็บถาวรและส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี

ช่องโหว่ของ TunnesshClient: การควบคุมระยะไกลและการส่งข้อมูลผ่านอุโมงค์

BoryptGrab บางเวอร์ชันมีเครื่องมือที่เป็นอันตรายเพิ่มเติมที่เรียกว่า TunnesshClient แม้ว่าฟีเจอร์นี้จะไม่ได้มีอยู่ในทุกเวอร์ชันก็ตาม TunnesshClient เป็นแบ็กดอร์ที่เขียนด้วยภาษา Python ซึ่งช่วยให้ผู้โจมตีสามารถสั่งการจากระยะไกลได้

ผ่านช่องโหว่นี้ อาชญากรไซเบอร์สามารถส่งคำสั่งไปยังระบบที่ติดไวรัสได้โดยตรง เครื่องมือนี้ยังช่วยให้สามารถส่งต่อทราฟฟิกเครือข่ายผ่านการเชื่อมต่อ SSH ย้อนกลับ ทำให้ผู้โจมตีสามารถกำหนดเส้นทางการใช้งานอินเทอร์เน็ตผ่านอุปกรณ์ที่ถูกบุกรุกได้ ฟังก์ชันนี้อาจถูกนำไปใช้เพื่อซ่อนการกระทำที่เป็นอันตราย ดำเนินการโจมตีเพิ่มเติม หรือรักษาการคงอยู่ภายในเครือข่ายของเหยื่อในระยะยาว

ผลที่ตามมาจากการติดเชื้อ BoryptGrab

การโจมตีระบบ BoryptGrab ที่ประสบความสำเร็จอาจนำไปสู่ผลกระทบร้ายแรงต่อเหยื่อ ข้อมูลที่ถูกขโมยมักรวมถึงข้อมูลประจำตัว ข้อมูลส่วนบุคคล และรายละเอียดกระเป๋าเงินดิจิทัล ซึ่งอาจถูกนำไปใช้ประโยชน์โดยอาชญากรไซเบอร์ได้ทันที

ผลกระทบที่พบบ่อยจากการโจมตีลักษณะนี้ ได้แก่:

  • ความสูญเสียทางการเงินที่เกิดจากการถูกขโมยสกุลเงินดิจิทัลหรือบัญชีการเงินถูกบุกรุก
  • การโจรกรรมข้อมูลส่วนบุคคลเนื่องจากการรั่วไหลของข้อมูลส่วนบุคคลหรือข้อมูลยืนยันตัวตน
  • บัญชีออนไลน์ที่ถูกแฮ็ก เช่น อีเมล โซเชียลมีเดีย หรือแพลตฟอร์มส่งข้อความ
  • การติดเชื้อทุติยภูมิที่ส่งผ่านส่วนประกอบมัลแวร์เพิ่มเติม

ด้วยความเสี่ยงเหล่านี้ การกำจัดมัลแวร์ออกจากอุปกรณ์ที่ติดเชื้อโดยทันทีจึงเป็นสิ่งสำคัญเพื่อจำกัดความเสียหายเพิ่มเติม

ช่องทางการแพร่กระจายเชื้อ: หน้าเว็บ GitHub ที่เป็นอันตรายและการดาวน์โหลดซอฟต์แวร์ปลอม

กลยุทธ์การเผยแพร่ของ BoryptGrab อาศัยเทคนิคทางสังคมและการหลอกลวงแพลตฟอร์มการพัฒนาซอฟต์แวร์ที่น่าเชื่อถือเป็นอย่างมาก อาชญากรไซเบอร์สร้างคลังเก็บข้อมูลสาธารณะบน GitHub ที่ดูเหมือนจะเป็นที่เก็บโครงการซอฟต์แวร์ที่ถูกต้องตามกฎหมาย คลังเก็บข้อมูลเหล่านี้มักมีเอกสาร ไฟล์ และคำอธิบายที่ออกแบบมาเพื่อเลียนแบบเครื่องมือของแท้

เพื่อเพิ่มการมองเห็นให้มากที่สุด ผู้โจมตีใช้เทคนิคการเพิ่มประสิทธิภาพกลไกค้นหา (SEO) เพื่อผลักดันแหล่งเก็บข้อมูลที่เป็นอันตรายและหน้า GitHub ของตนให้สูงขึ้นในผลการค้นหา ผู้ใช้ที่ค้นหาโปรแกรมยูทิลิตี้ โปรแกรมที่ถูกแคร็ก หรือเครื่องมือเล่นเกม จึงอาจพบหน้าเว็บที่เป็นอันตรายเหล่านี้อยู่ใกล้กับอันดับต้น ๆ ของผลการค้นหา

เมื่อเปิดเว็บไซต์ที่เก็บข้อมูลแล้ว ผู้ใช้มักจะถูกเปลี่ยนเส้นทางไปยังเว็บไซต์ที่ออกแบบมาอย่างมืออาชีพซึ่งเลียนแบบหน้าดาวน์โหลดซอฟต์แวร์จริง เว็บไซต์เหล่านี้มักโฆษณาโปรแกรมโกงเกม โปรแกรมแคร็ก โปรแกรมเพิ่มเฟรมเรต หรือยูทิลิตี้ที่อ้างว่าสามารถแก้ไขหรือดาวน์โหลดแอปพลิเคชันต่างๆ เช่น Filmora หรือ Voicemod ได้

เว็บไซต์ดังกล่าวจะส่งไฟล์ ZIP ที่แสร้งทำเป็นว่ามีตัวติดตั้งซอฟต์แวร์อยู่ภายใน เมื่อดาวน์โหลดไฟล์ ZIP และเรียกใช้ไฟล์เหล่านั้นแล้ว มัลแวร์จะทำงานและกระบวนการติดเชื้อ BoryptGrab ก็จะเริ่มต้นขึ้น

มาแรง

แรนซัมแวร์ BuP1w

แรนซัมแวร์
การปกป้องทรัพย์สินดิจิทัลได้กลายเป็นความรับผิดชอบพื้นฐานสำหรับทั้งบุคคลและองค์กร มัลแวร์เรียกค่าไถ่สมัยใหม่ถูกออกแบบมาเพื่อสร้างความเสียหายสูงสุด สร้างความกดดันทางการเงิน...

0apt Locker Ransomware

แรนซัมแวร์
การปกป้องอุปกรณ์จากมัลแวร์กลายเป็นสิ่งสำคัญอย่างยิ่งในยุคที่การปฏิบัติการของอาชญากรไซเบอร์มีการจัดระเบียบ เป็นระบบอัตโนมัติ และมีแรงจูงใจทางการเงินมากขึ้น โดยเฉพาะอย่างยิ่งการโจมตีด้วยแรนซัมแวร์...

Critical-service.cc

เว็บไซต์อันธพาล, แอดแวร์, แฮกเกอร์เบราว์เซอร์
การท่องอินเทอร์เน็ตต้องอาศัยความระมัดระวังอยู่เสมอ อาชญากรไซเบอร์พัฒนาเทคนิคหลอกลวงอย่างต่อเนื่องเพื่อชักจูงผู้ใช้ให้ละเมิดความปลอดภัยของตนเอง เว็บไซต์ที่ไม่พึงประสงค์โดยเฉพาะอย่างยิ่ง...

เข้าชมมากที่สุด

มัลแวร์

ฟิชชิ่ง, สแปม
21,503
ข้อความหลอกลวง 'Apple Pay Suspended' เป็นกลวิธีฟิชชิงประเภทหนึ่งที่กำหนดเป้าหมายผู้ใช้ Apple Pay ข้อความอ้างว่ากระเป๋าเงิน Apple Pay ของผู้ใช้ถูกระงับและขอให้คลิกลิงก์เพื่อกู้คืน อย่างไรก็ตาม การคลิกลิงก์จะนำผู้ใช้ไปยังเว็บไซต์ปลอมที่ออกแบบมาเพื่อขโมยข้อมูลส่วนบุคคลและข้อมูลทางการเงิน หากผู้ใช้ตกเป็นเหยื่อของแผนการนี้ ผลที่ตามมาอาจร้ายแรง...
'Geek Squad' อีเมลหลอกลวง สกรีนช็อต

'Geek Squad' อีเมลหลอกลวง

ฟิชชิ่ง, สแปม
20,545
Geek Squad ผู้ให้บริการสนับสนุนด้านเทคนิคยอดนิยม ได้กลายเป็นเหยื่อของกลโกงฟิชชิ่งที่เรียกว่า Geek Squad Email Scam กลโกงการสนับสนุนทางเทคนิคนี้ใช้อีเมลปลอมที่หลอกลวงให้ผู้คนเปิดเผยข้อมูลส่วนบุคคล...

เอพอนเนอร์ดอทคอม

ปัญหา
20,526
อินเทอร์เน็ตเป็นพื้นที่กว้างใหญ่ที่เต็มไปด้วยเนื้อหาที่มีประโยชน์ ความบันเทิง และข้อมูลต่างๆ แต่ก็มีมุมมืดด้วยเช่นกัน ไม่ว่าคุณจะกำลังสตรีมรายการ ดาวน์โหลดแอป...
กำลังโหลด...