Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Hırsızlar BoryptGrab Hırsızı

BoryptGrab Hırsızı

Mezo'de Hırsızlar, Gelişmiş Sürekli Tehdit (APT)'de
Çevir:

BoryptGrab, ele geçirilmiş sistemlerden hassas verileri çalmak üzere tasarlanmış gelişmiş bir bilgi hırsızlığı kötü amaçlı yazılımıdır. Tehdit, öncelikle sahte GitHub depoları ve ücretsiz yazılım araçlarını tanıtan aldatıcı indirme sayfaları aracılığıyla yayılır. Bu kötü amaçlı sayfalar, meşru görünmek üzere tasarlanmıştır ve bu da şüphelenmeyen kullanıcıların virüslü dosyaları indirip çalıştırma olasılığını artırır.

Bazı saldırı zincirlerinde, BoryptGrab ayrıca TunnesshClient olarak bilinen ek bir kötü amaçlı bileşen de sunar; bu bileşen, uzaktan erişime ve bulaşmış cihazın daha fazla istismarına olanak sağlayan bir arka kapıdır. Bir sistemde tespit edildiğinde, BoryptGrab veya ilgili herhangi bir tehdit, ek veri hırsızlığını veya sistem güvenliğinin ihlalini önlemek için derhal kaldırılmalıdır.

Kaçınma Teknikleri ve Ayrıcalık Yükseltme

BoryptGrab, ana zararlı yazılımını çalıştırmadan önce, güvenlik araştırmacılarını ve otomatik analiz ortamlarını atlatmak için tasarlanmış çeşitli kontroller gerçekleştirir. Zararlı yazılım, sanal bir makine içinde çalışıp çalışmadığını belirlemek için sistem dosyalarını ve yapılandırma ayarlarını inceler. Bu tür ortamlar genellikle güvenlik analistleri tarafından kullanılır ve bunların tespit edilmesi, zararlı yazılımın davranışını değiştirmesine veya yürütmeyi durdurmasına olanak tanır.

Sanal makine tespitinin yanı sıra, kötü amaçlı yazılım bilinen analiz veya hata ayıklama araçlarını belirlemek için aktif süreçleri de tarar. Bu araçlar tespit edilirse, kötü amaçlı faaliyetin açığa çıkmasını önlemek için bastırılması sağlanabilir. Enfeksiyon sürecindeki bir diğer önemli adım ise, kötü amaçlı yazılımın korunan sistem alanlarına erişmesine ve daha geniş bir yelpazedeki hassas bilgileri çıkarmasına olanak tanıyan yönetici ayrıcalıkları elde etme girişimleridir.

Tarayıcı Veri Toplama Yetenekleri

BoryptGrab'ın temel amacı, web tarayıcılarında depolanan hassas bilgileri toplamaktır. Bu kötü amaçlı yazılım, Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi ve Yandex Browser dahil olmak üzere birçok yaygın olarak kullanılan tarayıcıyı hedef almaktadır.

Bu tarayıcılardan elde edilen bilgi türleri genellikle oturum açma kimlik bilgilerini, otomatik doldurma verilerini, tarama geçmişini ve diğer depolanmış kişisel verileri içerir. Bu süreci kolaylaştırmak için BoryptGrab, tarayıcı verilerinin verimli bir şekilde çıkarılmasını sağlayan özel bir Chromium tabanlı araç indirir. Bu, ele geçirilen bir sistemden çalınabilecek bilgi miktarını önemli ölçüde artırır.

Kripto Para Cüzdanları Saldırı Altında

Kripto para varlıkları, BoryptGrab'ın bir diğer önemli hedefidir. Bu kötü amaçlı yazılım, masaüstü kripto para cüzdanlarıyla ve dijital varlık yönetimiyle ilgili tarayıcı uzantılarıyla ilgili yerel olarak depolanan verileri arar. Saldırganlar, cüzdan verilerini çıkararak depolanan fonlara erişme veya bunları transfer etme yeteneği kazanabilirler.

Bu kötü amaçlı yazılım, özellikle aşağıdakiler dahil olmak üzere çok çeşitli cüzdan uygulamalarını ve ilgili hizmetleri hedef almaktadır:

  • Armory Cüzdanı
  • Atomik
  • AtomicDEX
  • Binance
  • Bitcoin Core
  • BitPay
  • Blockstream Yeşil
  • Chia Cüzdanı
  • Coinomi
  • Katılım payı
  • Daedalus Ana Ağı
  • Dash Core
  • Dogecoin
  • Elektronik Nakit
  • Elektrum
  • ElectrumLTC
  • Ethereum
  • Çıkış
  • YeşilAdres
  • Muhafız
  • Jaxx Masaüstü
  • Komodo Cüzdanı
  • Ledger Live
  • Ledger Cüzdanı
  • Litecoin Çekirdeği
  • MEW Masaüstü
  • MultiDoge
  • MyEtherCüzdanı
  • NOW Cüzdanı
  • Kuzgun Çekirdeği
  • StakeCube
  • Trezor Süiti
  • Wasabi Cüzdanı

Bu kadar kapsamlı bir listenin varlığı, kötü amaçlı yazılımın finansal hırsızlığa ne kadar önem verdiğini vurgulamaktadır.

Genişletilmiş Veri Toplama ve Sızdırma

BoryptGrab, tarayıcılar ve kripto para cüzdanlarının ötesinde, bulaşmış sistemden ek veriler toplar. Kötü amaçlı yazılım, değerli bilgiler içerebilecek belirli uzantılara sahip dosyaları bulmak için yaygın dizinleri arar. Mesajlaşma uygulamaları ve diğer iletişim platformları da hedeflenir.

Toplanan veriler arasında Telegram dosyaları, kaydedilmiş tarayıcı şifreleri ve kötü amaçlı yazılımın daha yeni varyantlarında Discord kimlik doğrulama belirteçleri yer alabilir. Veri toplama aşamasını tamamladıktan sonra, BoryptGrab kurbanın masaüstünün ekran görüntüsünü alır ve ele geçirilen makine hakkında genel sistem bilgilerini derler. Toplanan tüm veriler daha sonra bir arşive sıkıştırılır ve saldırganlar tarafından kontrol edilen bir sunucuya iletilir.

TunnesshClient Arka Kapısı: Uzaktan Kontrol ve Trafik Tünelleme

BoryptGrab'ın bazı sürümleri, TunnesshClient olarak bilinen ek bir kötü amaçlı araç kullanır, ancak bu özellik her varyantta mevcut değildir. TunnesshClient, saldırganlara uzaktan komut yürütme yetenekleri sağlayan Python tabanlı bir arka kapı yazılımıdır.

Bu arka kapı sayesinde siber suçlular, enfekte olmuş sisteme doğrudan komutlar verebilirler. Araç ayrıca, ters SSH bağlantısı üzerinden ağ trafiğinin yönlendirilmesini sağlayarak saldırganların internet etkinliğini ele geçirilmiş cihaz üzerinden yönlendirmesine olanak tanır. Bu işlevsellik, kötü amaçlı işlemleri gizlemek, daha fazla saldırı gerçekleştirmek veya kurbanın ağında uzun süreli kalıcılık sağlamak için kullanılabilir.

BoryptGrab Enfeksiyonunun Sonuçları

Başarılı bir BoryptGrab saldırısı, mağdurlar için ciddi sonuçlara yol açabilir. Çalınan bilgiler genellikle kimlik bilgilerini, kişisel verileri ve kripto para cüzdanı bilgilerini içerir ve bunlar siber suçlular tarafından hemen kötüye kullanılabilir.

Bu tür bir saldırının yaygın etkileri şunlardır:

  • Çalınan kripto para birimleri veya ele geçirilen finansal hesaplardan kaynaklanan mali kayıplar
  • Kişisel veya kimlik doğrulama verilerinin sızdırılması nedeniyle kimlik hırsızlığı
  • E-posta, sosyal medya veya mesajlaşma platformları gibi ele geçirilmiş çevrimiçi hesaplar.
  • Ek kötü amaçlı yazılım bileşenleri aracılığıyla bulaşan ikincil enfeksiyonlar

Bu riskler göz önüne alındığında, daha fazla hasarı sınırlamak için kötü amaçlı yazılımın bulaşmış cihazlardan derhal kaldırılması şarttır.

Bulaşma Vektörü: Kötü Amaçlı GitHub Sayfaları ve Sahte Yazılım İndirmeleri

BoryptGrab'ın arkasındaki dağıtım stratejisi büyük ölçüde sosyal mühendisliğe ve güvenilir geliştirme platformlarının manipülasyonuna dayanmaktadır. Siber suçlular, meşru yazılım projelerine ev sahipliği yapıyormuş gibi görünen herkese açık GitHub depoları oluştururlar. Bu depolar genellikle gerçek araçları taklit etmek üzere tasarlanmış belgeler, dosyalar ve açıklamalar içerir.

Görünürlüğü en üst düzeye çıkarmak için saldırganlar, kötü amaçlı depolarını ve GitHub sayfalarını arama sonuçlarında daha üst sıralara taşımak amacıyla arama motoru optimizasyonu tekniklerini kullanırlar. Bu nedenle, yazılım yardımcı programları, korsan programlar veya oyun araçları arayan kullanıcılar, bu kötü amaçlı sayfalarla arama sonuçlarının en üst sıralarında karşılaşabilirler.

Bir depoyu açtıktan sonra, kullanıcılar genellikle gerçek bir yazılım indirme sayfasını taklit eden profesyonelce tasarlanmış bir web sitesine yönlendirilir. Bu sayfalar sıklıkla oyun hileleri, korsan programlar, FPS artırıcılar veya Filmora veya Voicemod gibi uygulamaları değiştirmeyi veya indirmeyi vaat eden yardımcı programlar reklamı yapar.

Site, nihayetinde yazılım yükleyicisini içeriyormuş gibi görünen bir ZIP arşivi sunar. Arşiv indirildiğinde ve içerdiği dosyalar çalıştırıldığında, kötü amaçlı yazılım etkinleşir ve BoryptGrab enfeksiyon süreci başlar.

trend

En çok görüntülenen

Yükleniyor...