Multi-License Discount Quote
Banta sa Database Mga magnanakaw Magnanakaw ng BoryptGrab

Magnanakaw ng BoryptGrab

Sa pamamagitan ng Mezo sa Mga magnanakaw, Advanced Persistent Threat (APT)
Isalin To:

Ang BoryptGrab ay isang sopistikadong malware na nagnanakaw ng impormasyon na idinisenyo upang mangolekta ng sensitibong data mula sa mga nakompromisong sistema. Ang banta ay pangunahing kumakalat sa pamamagitan ng mga mapanlinlang na repositoryo ng GitHub at mga mapanlinlang na pahina ng pag-download na nagtataguyod ng mga libreng tool ng software. Ang mga malisyosong pahinang ito ay ginawa upang magmukhang lehitimo, na nagpapataas ng posibilidad na ang mga walang kamalay-malay na gumagamit ay magda-download at magpatakbo ng mga nahawaang file.

Sa ilang partikular na kadena ng pag-atake, ang BoryptGrab ay naghahatid din ng karagdagang malisyosong bahagi na kilala bilang TunnesshClient, isang backdoor na nagbibigay-daan sa malayuang pag-access at karagdagang pagsasamantala sa nahawaang device. Kapag natukoy na sa isang sistema, ang BoryptGrab o anumang kaugnay na banta ay dapat agad na alisin upang maiwasan ang karagdagang pagnanakaw ng data o pagkompromiso sa sistema.

Mga Teknik sa Pag-iwas at Pagtaas ng Pribilehiyo

Bago simulan ang pangunahing payload nito, nagsasagawa ang BoryptGrab ng ilang pagsusuri na idinisenyo upang maiwasan ang mga mananaliksik ng seguridad at mga automated analysis environment. Sinusuri ng malware ang mga system file at mga setting ng configuration upang matukoy kung tumatakbo ito sa loob ng isang virtual machine. Ang mga ganitong kapaligiran ay karaniwang ginagamit ng mga security analyst, at ang pagtukoy sa mga ito ay nagbibigay-daan sa malware na baguhin ang pag-uugali nito o ihinto ang pagpapatupad.

Bukod sa pagtukoy ng virtual machine, ini-scan din ng malware ang mga aktibong proseso upang matukoy ang mga kilalang tool sa pagsusuri o pag-debug. Kung matutukoy ang mga tool na ito, maaaring mapigilan ang malisyosong aktibidad upang maiwasan ang pagkakalantad. Ang isa pang mahalagang hakbang sa proseso ng impeksyon ay kinabibilangan ng mga pagtatangka na makakuha ng mga pribilehiyong administratibo, na nagpapahintulot sa malware na ma-access ang mga protektadong lugar ng system at kumuha ng mas malawak na hanay ng sensitibong impormasyon.

Mga Kakayahan sa Pagkuha ng Data ng Browser

Ang pangunahing layunin ng BoryptGrab ay ang pangongolekta ng sensitibong impormasyong nakaimbak sa mga web browser. Tinatarget ng malware ang maraming browser na malawakang ginagamit, kabilang ang Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi, at Yandex Browser.

Ang mga uri ng impormasyong nakukuha mula sa mga browser na ito ay karaniwang kinabibilangan ng mga login credential, autofill data, browsing history, at iba pang nakaimbak na personal na data. Upang makatulong sa prosesong ito, nagda-download ang BoryptGrab ng isang espesyal na tool na nakabatay sa Chromium na nagbibigay-daan sa mahusay na pagkuha ng data ng browser. Malaki ang naitutulong nito sa dami ng impormasyong maaaring nakawin mula sa isang nakompromisong sistema.

Mga Cryptocurrency Wallet na Inaatake

Ang mga asset ng cryptocurrency ay isa pang pangunahing target ng BoryptGrab. Hinahanap ng malware ang lokal na nakaimbak na data na may kaugnayan sa mga desktop cryptocurrency wallet at mga extension ng browser na nauugnay sa pamamahala ng digital asset. Sa pamamagitan ng pagkuha ng data ng wallet, maaaring magkaroon ng kakayahang ma-access o mailipat ng mga attacker ang mga nakaimbak na pondo.

Partikular na tinatarget ng malware ang malawak na hanay ng mga aplikasyon ng wallet at mga kaugnay na serbisyo, kabilang ang:

  • Wallet ng Armory
  • Atomika
  • AtomicDEX
  • Binance
  • Bitcoin Core
  • BitPay
  • Blockstream Green
  • Chia Wallet
  • Coinomi
  • Kopyahin ang bayad
  • Daedalus Mainnet
  • Dash Core
  • Dogecoin
  • Elektron na Pera
  • Elektrum
  • ElectrumLTC
  • Ethereum
  • Exodo
  • GreenAddress
  • Guarda
  • Jaxx Desktop
  • Komodo Wallet
  • Ledger Live
  • Ledger Wallet
  • Litecoin Core
  • MEW Desktop
  • MultiDoge
  • MyEtherWallet
  • NOW Wallet
  • Raven Core
  • StakeCube
  • Trezor Suite
  • Wasabi Wallet

Ang pagkakaroon ng ganito kalawak na listahan ay nagpapakita ng matinding pokus ng malware sa pagnanakaw sa pananalapi.

Pinalawak na Pangongolekta ng Datos at Pag-exfiltrate

Bukod sa mga browser at cryptocurrency wallet, nangangalap din ang BoryptGrab ng karagdagang data mula sa nahawaang sistema. Hinahanap ng malware ang mga karaniwang direktoryo para sa mga file na may mga partikular na extension na maaaring naglalaman ng mahalagang impormasyon. Tinatarget din ang mga messaging application at iba pang mga platform ng komunikasyon.

Ang mga nakalap na datos ay maaaring kabilang ang mga Telegram file, mga nakaimbak na password ng browser, at, sa mga mas bagong variant ng malware, mga Discord authentication token. Pagkatapos makumpleto ang yugto ng pangongolekta ng datos, kumukuha ang BoryptGrab ng screenshot ng desktop ng biktima at kinokolekta ang pangkalahatang impormasyon ng sistema tungkol sa nakompromisong makina. Ang lahat ng nakuha na datos ay pagkatapos ay kino-compress sa isang archive at ipinapadala sa isang server na kontrolado ng mga umaatake.

TunnesshClient Backdoor: Remote Control at Pag-tunneling ng Trapiko

Ang ilang bersyon ng BoryptGrab ay naglalagay ng karagdagang malisyosong tool na kilala bilang TunnesshClient, bagama't ang feature na ito ay wala sa lahat ng variant. Ang TunnesshClient ay isang backdoor na nakabatay sa Python na nagbibigay sa mga attacker ng mga kakayahan sa remote command execution.

Sa pamamagitan ng backdoor na ito, maaaring direktang mag-isyu ng mga utos ang mga cybercriminal sa nahawaang sistema. Nagbibigay-daan din ang tool na ito sa pagpapasa ng trapiko sa network sa pamamagitan ng isang reverse SSH connection, na nagpapahintulot sa mga umaatake na iruta ang aktibidad sa internet sa pamamagitan ng nakompromisong device. Maaaring gamitin ang functionality na ito upang itago ang mga malisyosong operasyon, magsagawa ng mga karagdagang pag-atake, o mapanatili ang pangmatagalang pagtitiyaga sa loob ng network ng biktima.

Mga Bunga ng Impeksyon ng BoryptGrab

Ang isang matagumpay na pag-atake sa BoryptGrab ay maaaring humantong sa malubhang kahihinatnan para sa mga biktima. Ang ninakaw na impormasyon ay kadalasang kinabibilangan ng mga kredensyal, personal na datos, at mga detalye ng cryptocurrency wallet, na maaaring agad na samantalahin ng mga cybercriminal.

Ang mga karaniwang epekto ng ganitong pag-atake ay kinabibilangan ng:

  • Mga pagkalugi sa pananalapi na nagreresulta mula sa ninakaw na cryptocurrency o nakompromisong mga account sa pananalapi
  • Pagnanakaw ng pagkakakilanlan dahil sa pagtagas ng personal o authentication data
  • Mga na-hijack na online account tulad ng email, social media, o mga platform ng pagmemensahe
  • Mga pangalawang impeksyon na naihahatid sa pamamagitan ng mga karagdagang bahagi ng malware

Dahil sa mga panganib na ito, mahalaga ang agarang pag-alis ng malware mula sa mga nahawaang device upang limitahan ang karagdagang pinsala.

Impeksyon Vector: Mga Malisyosong Pahina ng GitHub at Mga Pekeng Pag-download ng Software

Ang estratehiya sa pamamahagi sa likod ng BoryptGrab ay lubos na nakasalalay sa social engineering at manipulasyon ng mga pinagkakatiwalaang platform ng pag-develop. Ang mga cybercriminal ay lumilikha ng mga pampublikong repositoryo ng GitHub na tila nagho-host ng mga lehitimong proyekto ng software. Ang mga repositoryong ito ay kadalasang naglalaman ng dokumentasyon, mga file, at mga paglalarawan na idinisenyo upang gayahin ang mga tunay na tool.

Para ma-maximize ang visibility, gumagamit ang mga attacker ng mga search engine optimization techniques para mas mataas ang bilang ng mga malisyosong repository at GitHub Pages sa mga resulta ng paghahanap. Kaya naman, maaaring makatagpo ang mga user na naghahanap ng mga software utility, cracked program, o gaming tools ng mga malisyosong pahinang ito malapit sa tuktok ng mga resulta ng paghahanap.

Kapag nabuksan na ang isang repository, karaniwang ire-redirect ang mga user sa isang propesyonal na dinisenyong website na ginagaya ang isang tunay na pahina ng pag-download ng software. Ang mga pahinang ito ay madalas na nag-aanunsyo ng mga gaming cheat, mga cracked na programa, mga FPS booster, o mga utility na nagsasabing nagbabago o nagda-download ng mga application tulad ng Filmora o Voicemod.

Sa huli, ang site ay nagbibigay ng isang ZIP archive na nagkukunwaring naglalaman ng software installer. Kapag na-download na ang archive at naisagawa na ang mga kasama na file, ang malisyosong payload ay ia-activate at magsisimula ang proseso ng impeksyon ng BoryptGrab.

Trending

Pinaka Nanood

Naglo-load...