มัลแวร์ Infostealer ใหม่เผยแพร่บน Dark Web
ฟอรัมการแฮ็กใต้ดินของรัสเซียเป็นแหล่งอุดมสมบูรณ์สำหรับการกระจายมัลแวร์ นักวิจัยด้านความปลอดภัยเพิ่งค้นพบว่ามีการขายมัลแวร์สายพันธุ์ใหม่บนหนึ่งในฟอรัมเหล่านั้น
มัลแวร์ตัวใหม่นี้ทำหน้าที่เป็นผู้ขโมยข้อมูลข่าวสารและใช้ ชื่อว่า BlackGuard นักวิจัยด้านความปลอดภัยตรวจพบมัลแวร์กับบริษัทรักษาความปลอดภัยบนคลาวด์ zScaler พวกเขาพบว่า BlackGuard กำลังขายบนพื้นฐานมัลแวร์ในฐานะบริการ โดยที่ผู้เขียนเรียกเก็บค่าธรรมเนียมรายเดือน $200 สำหรับการใช้งาน
BlackGuard ขายทั้งแบบบริการและแบบซื้อครั้งเดียว
นอกเหนือจากค่าธรรมเนียม "สมัครรับข้อมูล" รายเดือนสำหรับมัลแวร์แล้ว ผู้เขียนยังเสนอการซื้อล่วงหน้าเพียงครั้งเดียวมูลค่า 700 ดอลลาร์ ซึ่งให้สิทธิ์การเข้าถึงตลอดชีพ ดูเหมือนว่าจะเป็นการตัดสินใจที่น่าสงสัย เมื่อเปรียบเทียบการสมัครสมาชิกรายเดือนที่มีราคาแพง
BlackGuard มาพร้อมกับฟังก์ชันทั้งหมดที่คุณคาดหวังจากผู้ขโมยข้อมูลข่าวสาร มันสามารถขูดรหัสผ่าน กรอกข้อมูลแบบฟอร์มอัตโนมัติ ประวัติเบราว์เซอร์และคุกกี้ รวมถึงประวัติข้อความที่บันทึกไว้ในแอพต่างๆ เช่น Discord, Telegram และ Element มัลแวร์ยังสามารถ กำหนดเป้าหมายไฟล์กระเป๋าสตางค์ที่มี cryptocurrencies จำนวนหนึ่ง รวมทั้ง Ethereum และ Bitcoin
จากข้อมูลของ zScaler ผู้ขโมยข้อมูลข่าวสารยังคงได้รับการพัฒนาอย่างแข็งขัน แต่มีคุณสมบัติมากมายอยู่แล้วเพื่อให้น่าสนใจยิ่งขึ้นสำหรับพันธมิตรหรือผู้ซื้อที่มีศักยภาพ BlackGuard มีความสามารถในการสร้างความสับสนและต่อต้านการดีบักอยู่แล้วเพื่อให้นักวิจัยของ infosec ทำงานหนักขึ้น
BlackGuard หลีกเลี่ยงเป้าหมายที่อยู่ในประเทศ CIS
ไม่ยากเกินไปที่จะจินตนาการว่าต้นกำเนิดของมัลแวร์คืออะไร เนื่องจากมันตรวจสอบประเทศต้นกำเนิดของระบบที่มันลงจอด และถ้าเป็นรัสเซียหรือหนึ่งในสาธารณรัฐโซเวียตเดิมที่เรียกรวมกันว่าเครือจักรภพแห่งรัฐอิสระ กระบวนการก็ยุติลงเอง
ผู้ขโมยข้อมูลจะดึงข้อมูลทั้งหมดที่พบในระบบเป้าหมาย จากนั้นจึงรวมทุกอย่างไว้ในไฟล์เก็บถาวรและส่งข้อมูลที่รวบรวมไปยังเซิร์ฟเวอร์คำสั่งและควบคุมโดยใช้คำขอ HTTP POST
แม้ว่าจะมีผู้ขโมยข้อมูลข้อมูลอื่นๆ ที่มีคุณสมบัติหลากหลายและเป็นที่นิยมมากกว่า นักวิจัยเตือนว่า BlackGuard กำลังได้รับความสนใจและควรจับตาดูอย่างใกล้ชิดเพราะอาจเติบโตเป็นภัยคุกคามที่อันตรายกว่าในเร็วๆ นี้