Знижка на кілька ліцензій
База даних загроз Викрадачі Викрадач BoryptGrab

Викрадач BoryptGrab

До Mezo року в Викрадачі, Розширена постійна загроза (APT) році
Перекласти на:

BoryptGrab — це складне шкідливе програмне забезпечення для крадіжки інформації, призначене для збору конфіденційних даних зі скомпрометованих систем. Загроза поширюється переважно через шахрайські репозиторії GitHub та оманливі сторінки завантаження, що рекламують безкоштовні програмні інструменти. Ці шкідливі сторінки створені так, щоб виглядати легітимними, що збільшує ймовірність того, що нічого не підозрюючі користувачі завантажать та запустять заражені файли.

У певних ланцюгах атак BoryptGrab також постачає додатковий шкідливий компонент, відомий як TunnesshClient, бекдор, який забезпечує віддалений доступ та подальше використання зараженого пристрою. Після виявлення в системі BoryptGrab або будь-яку пов'язану з ним загрозу необхідно негайно видалити, щоб запобігти подальшій крадіжці даних або компрометації системи.

Методи ухилення та ескалація привілеїв

Перш ніж запустити своє основне корисне навантаження, BoryptGrab виконує кілька перевірок, призначених для уникнення дослідників безпеки та автоматизованих середовищ аналізу. Шкідливе програмне забезпечення перевіряє системні файли та налаштування конфігурації, щоб визначити, чи працює воно у віртуальній машині. Такі середовища зазвичай використовуються аналітиками безпеки, і їх виявлення дозволяє шкідливому програмному забезпеченню змінити свою поведінку або зупинити виконання.

Окрім виявлення віртуальних машин, шкідливе програмне забезпечення сканує активні процеси, щоб ідентифікувати відомі інструменти аналізу або налагодження. Якщо ці інструменти виявлено, шкідливу активність можна придушити, щоб уникнути розкриття. Ще один важливий крок у процесі зараження включає спроби отримання прав адміністратора, що дозволяє шкідливому програмному забезпеченню отримувати доступ до захищених системних областей та витягувати ширший спектр конфіденційної інформації.

Можливості збору даних браузера

Основною метою BoryptGrab є збір конфіденційної інформації, що зберігається у веббраузерах. Шкідливе програмне забезпечення націлене на численні широко використовувані браузери, включаючи Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi та Yandex Browser.

Типи інформації, що витягується з цих браузерів, зазвичай включають облікові дані для входу, дані автозаповнення, історію переглядів та інші збережені персональні дані. Щоб допомогти в цьому процесі, BoryptGrab завантажує спеціалізований інструмент на базі Chromium, який дозволяє ефективно витягувати дані браузера. Це значно збільшує обсяг інформації, яку можна викрасти зі скомпрометованої системи.

Криптовалютні гаманці під атакою

Криптовалютні активи є ще однією головною ціллю BoryptGrab. Шкідливе програмне забезпечення шукає локально збережені дані, пов'язані з криптовалютними гаманцями для комп'ютерів та розширеннями браузера, пов'язаними з управлінням цифровими активами. Витягуючи дані гаманців, зловмисники можуть отримати доступ до збережених коштів або переказувати їх.

Шкідливе програмне забезпечення спеціально націлене на широкий спектр програм-гаманців та пов'язаних з ними сервісів, зокрема:

  • Гаманець Armory
  • Атомний
  • АтомнийDEX
  • Бінанс
  • Bitcoin Core
  • БітПей
  • Блокстрім Грін
  • Гаманець Чіа
  • Коіномі
  • Доплата
  • Основна мережа Дедала
  • Ядро Dash
  • Догекойн
  • Електронна готівка
  • Електрум
  • ElectrumLTC
  • Етереум
  • Вихід
  • Зелена адреса
  • Гуарда
  • Jaxx Desktop
  • Гаманець Комодо
  • Леджер Лайв
  • Гаманець Ledger
  • Ядро Litecoin
  • Робочий стіл MEW
  • Мультидож
  • МійЕфірнийГаманець
  • ЗАРАЗ Гаманець
  • Рейвен Ядро
  • StakeCube
  • Люкс «Трезор»
  • Гаманець з васабі

Наявність такого великого списку підкреслює сильну спрямованість шкідливого програмного забезпечення на фінансові крадіжки.

Розширений збір та вилучення даних

Окрім браузерів та криптовалютних гаманців, BoryptGrab збирає додаткові дані із зараженої системи. Шкідливе програмне забезпечення шукає файли з певними розширеннями, які можуть містити цінну інформацію, у звичайних каталогах. Програми обміну повідомленнями та інші комунікаційні платформи також є ціллю.

Зібрані дані можуть включати файли Telegram, збережені паролі браузера та, в новіших варіантах шкідливого програмного забезпечення, токени автентифікації Discord. Після завершення фази збору даних BoryptGrab робить скріншот робочого столу жертви та збирає загальну системну інформацію про скомпрометований комп'ютер. Всі зібрані дані потім стискаються в архів та передаються на сервер, контрольований зловмисниками.

Бекдор TunnesshClient: Дистанційне керування та тунелювання трафіку

Деякі версії BoryptGrab використовують додатковий шкідливий інструмент під назвою TunnesshClient, хоча ця функція присутня не в кожному варіанті. TunnesshClient — це бекдор на основі Python, який надає зловмисникам можливості віддаленого виконання команд.

Через цей бекдор кіберзлочинці можуть видавати команди безпосередньо зараженій системі. Інструмент також дозволяє пересилати мережевий трафік через зворотне SSH-з'єднання, що дозволяє зловмисникам направляти інтернет-активність через скомпрометований пристрій. Ця функціональність може бути використана для приховування шкідливих операцій, проведення подальших атак або підтримки довготривалої присутності в мережі жертви.

Наслідки зараження BoryptGrab

Успішна компрометація BoryptGrab може призвести до серйозних наслідків для жертв. Викрадена інформація часто містить облікові дані, персональні дані та реквізити криптовалютних гаманців, які можуть бути негайно використані кіберзлочинцями.

До поширених наслідків такої атаки належать:

  • Фінансові збитки, спричинені крадіжкою криптовалюти або компрометацією фінансових рахунків
  • Крадіжка особистих даних через витік особистих даних або даних автентифікації
  • Викрадені онлайн-акаунти, такі як електронна пошта, соціальні мережі або платформи обміну повідомленнями
  • Вторинні зараження, що виникають через додаткові компоненти шкідливого програмного забезпечення

З огляду на ці ризики, негайне видалення шкідливого програмного забезпечення із заражених пристроїв є важливим для обмеження подальшої шкоди.

Вектор зараження: шкідливі сторінки GitHub та завантаження фальшивого програмного забезпечення

Стратегія розповсюдження BoryptGrab значною мірою спирається на соціальну інженерію та маніпуляції з довіреними платформами розробки. Кіберзлочинці створюють публічні репозиторії GitHub, які виглядають як розміщення легітимних програмних проектів. Ці репозиторії часто містять документацію, файли та описи, розроблені для імітації справжніх інструментів.

Щоб максимізувати видимість, зловмисники використовують методи пошукової оптимізації, щоб просувати свої шкідливі репозиторії та сторінки GitHub вище в результатах пошуку. Користувачі, які шукають програмні утиліти, зламані програми або ігрові інструменти, можуть зіткнутися з цими шкідливими сторінками у верхній частині результатів пошуку.

Після відкриття репозиторію користувачів зазвичай перенаправляє на професійно розроблений веб-сайт, який імітує справжню сторінку завантаження програмного забезпечення. Ці сторінки часто рекламують ігрові чіти, зламані програми, підсилювачі FPS або утиліти, які нібито змінюють або завантажують програми, такі як Filmora або Voicemod.

Зрештою, сайт надає ZIP-архів, який нібито містить інсталятор програмного забезпечення. Після завантаження архіву та запуску вкладених файлів активується шкідливе корисне навантаження та починається процес зараження BoryptGrab.

В тренді

Найбільше переглянуті

Шкідливе програмне забезпечення

Фішинг, Спам
21,503
Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...
Завантаження...