Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Kẻ trộm Kẻ trộm BoryptGrab

Kẻ trộm BoryptGrab

Đến năm Mezo năm Kẻ trộm, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

BoryptGrab là một phần mềm độc hại tinh vi chuyên đánh cắp thông tin, được thiết kế để thu thập dữ liệu nhạy cảm từ các hệ thống bị xâm nhập. Mối đe dọa này chủ yếu lây lan qua các kho lưu trữ GitHub giả mạo và các trang tải xuống lừa đảo quảng cáo các công cụ phần mềm miễn phí. Những trang web độc hại này được thiết kế trông có vẻ hợp pháp, làm tăng khả năng người dùng không nghi ngờ sẽ tải xuống và thực thi các tệp bị nhiễm.

Trong một số chuỗi tấn công nhất định, BoryptGrab cũng cung cấp thêm một thành phần độc hại khác được gọi là TunnesshClient, một cửa hậu cho phép truy cập từ xa và khai thác thêm thiết bị bị nhiễm. Sau khi được phát hiện trên hệ thống, BoryptGrab hoặc bất kỳ mối đe dọa liên quan nào phải được loại bỏ ngay lập tức để ngăn chặn việc đánh cắp dữ liệu hoặc xâm phạm hệ thống thêm nữa.

Các kỹ thuật né tránh và leo thang đặc quyền

Trước khi khởi chạy phần mềm độc hại chính, BoryptGrab thực hiện một số bước kiểm tra được thiết kế để né tránh các nhà nghiên cứu bảo mật và môi trường phân tích tự động. Phần mềm độc hại kiểm tra các tệp hệ thống và cài đặt cấu hình để xác định xem nó có đang chạy bên trong máy ảo hay không. Các môi trường như vậy thường được các nhà phân tích bảo mật sử dụng, và việc phát hiện ra chúng cho phép phần mềm độc hại thay đổi hành vi hoặc dừng quá trình thực thi.

Ngoài việc phát hiện máy ảo, phần mềm độc hại còn quét các tiến trình đang hoạt động để xác định các công cụ phân tích hoặc gỡ lỗi đã biết. Nếu phát hiện thấy các công cụ này, hoạt động độc hại có thể bị ngăn chặn để tránh bị phát hiện. Một bước quan trọng khác trong quá trình lây nhiễm là cố gắng giành quyền quản trị, cho phép phần mềm độc hại truy cập vào các khu vực hệ thống được bảo vệ và trích xuất nhiều thông tin nhạy cảm hơn.

Khả năng thu thập dữ liệu trình duyệt

Mục tiêu chính của BoryptGrab là thu thập thông tin nhạy cảm được lưu trữ trong trình duyệt web. Phần mềm độc hại này nhắm mục tiêu vào nhiều trình duyệt phổ biến, bao gồm Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi và Yandex Browser.

Các loại thông tin được trích xuất từ các trình duyệt này thường bao gồm thông tin đăng nhập, dữ liệu tự động điền, lịch sử duyệt web và các dữ liệu cá nhân khác được lưu trữ. Để hỗ trợ quá trình này, BoryptGrab tải xuống một công cụ chuyên dụng dựa trên Chromium cho phép trích xuất dữ liệu trình duyệt một cách hiệu quả. Điều này làm tăng đáng kể lượng thông tin có thể bị đánh cắp từ một hệ thống bị xâm nhập.

Ví tiền điện tử bị tấn công

Tài sản tiền điện tử là một mục tiêu chính khác của BoryptGrab. Phần mềm độc hại này tìm kiếm dữ liệu được lưu trữ cục bộ liên quan đến ví tiền điện tử trên máy tính để bàn và các tiện ích mở rộng trình duyệt liên quan đến quản lý tài sản kỹ thuật số. Bằng cách trích xuất dữ liệu ví, kẻ tấn công có thể truy cập hoặc chuyển tiền được lưu trữ.

Phần mềm độc hại này nhắm mục tiêu cụ thể vào nhiều ứng dụng ví điện tử và các dịch vụ liên quan, bao gồm:

  • Ví Armory
  • Nguyên tử
  • AtomicDEX
  • Binance
  • Bitcoin Core
  • BitPay
  • Blockstream Green
  • Ví Chia
  • Coinomi
  • Đồng thanh toán
  • Mạng chính Daedalus
  • Dash Core
  • Dogecoin
  • Tiền điện tử
  • hợp kim vàng bạc
  • ElectrumLTC
  • Ethereum
  • Di cư
  • Địa chỉ xanh
  • Guarda
  • Jaxx Desktop
  • Ví Komodo
  • Ledger Live
  • Ví Ledger
  • Litecoin Core
  • Máy tính để bàn MEW
  • MultiDoge
  • Ví Ether của tôi
  • Ví NOW
  • Lõi Raven
  • StakeCube
  • Phòng Trezor
  • Ví Wasabi

Sự hiện diện của một danh sách dài như vậy cho thấy phần mềm độc hại này tập trung mạnh vào mục tiêu đánh cắp tài chính.

Thu thập và rò rỉ dữ liệu mở rộng

Ngoài trình duyệt và ví tiền điện tử, BoryptGrab còn thu thập thêm dữ liệu từ hệ thống bị nhiễm. Phần mềm độc hại này tìm kiếm các thư mục phổ biến để tìm các tệp có phần mở rộng cụ thể có thể chứa thông tin quan trọng. Các ứng dụng nhắn tin và các nền tảng liên lạc khác cũng là mục tiêu của nó.

Dữ liệu thu thập được có thể bao gồm các tệp Telegram, mật khẩu trình duyệt đã lưu và, trong các biến thể mới hơn của phần mềm độc hại, mã xác thực Discord. Sau khi hoàn tất giai đoạn thu thập dữ liệu, BoryptGrab chụp ảnh màn hình máy tính của nạn nhân và tổng hợp thông tin hệ thống chung về máy tính bị xâm nhập. Tất cả dữ liệu thu thập được sau đó được nén thành một tệp lưu trữ và truyền đến máy chủ do kẻ tấn công kiểm soát.

Cửa hậu TuneshClient: Điều khiển từ xa và đường hầm lưu lượng truy cập

Một số phiên bản của BoryptGrab triển khai thêm một công cụ độc hại khác có tên là TunnesshClient, mặc dù tính năng này không có trong mọi biến thể. TunnesshClient là một phần mềm cửa hậu dựa trên Python cung cấp cho kẻ tấn công khả năng thực thi lệnh từ xa.

Thông qua lỗ hổng này, tội phạm mạng có thể trực tiếp ra lệnh cho hệ thống bị nhiễm. Công cụ này cũng cho phép chuyển tiếp lưu lượng mạng thông qua kết nối SSH ngược, cho phép kẻ tấn công định tuyến hoạt động internet qua thiết bị bị xâm nhập. Chức năng này có thể được sử dụng để che giấu các hoạt động độc hại, thực hiện các cuộc tấn công tiếp theo hoặc duy trì sự hiện diện lâu dài trong mạng của nạn nhân.

Hậu quả của nhiễm trùng BoryptGrab

Việc tấn công thành công vào hệ thống BoryptGrab có thể dẫn đến những hậu quả nghiêm trọng cho nạn nhân. Thông tin bị đánh cắp thường bao gồm thông tin đăng nhập, dữ liệu cá nhân và chi tiết ví tiền điện tử, những thông tin này có thể bị tội phạm mạng lợi dụng ngay lập tức.

Các tác động thường gặp của một cuộc tấn công như vậy bao gồm:

  • Thiệt hại tài chính do tiền điện tử bị đánh cắp hoặc tài khoản tài chính bị xâm phạm.
  • Đánh cắp danh tính do rò rỉ dữ liệu cá nhân hoặc dữ liệu xác thực.
  • Các tài khoản trực tuyến bị chiếm đoạt, chẳng hạn như email, mạng xã hội hoặc nền tảng nhắn tin.
  • Các lây nhiễm thứ cấp được truyền qua các thành phần phần mềm độc hại bổ sung.

Trước những rủi ro này, việc loại bỏ phần mềm độc hại khỏi các thiết bị bị nhiễm ngay lập tức là điều cần thiết để hạn chế thiệt hại thêm nữa.

Phương thức lây nhiễm: Các trang GitHub độc hại và các bản tải xuống phần mềm giả mạo

Chiến lược phân phối của BoryptGrab chủ yếu dựa vào kỹ thuật xã hội và thao túng các nền tảng phát triển đáng tin cậy. Tội phạm mạng tạo ra các kho lưu trữ GitHub công khai trông giống như chứa các dự án phần mềm hợp pháp. Các kho lưu trữ này thường chứa tài liệu, tệp và mô tả được thiết kế để bắt chước các công cụ chính hãng.

Để tối đa hóa khả năng hiển thị, tin tặc sử dụng các kỹ thuật tối ưu hóa công cụ tìm kiếm (SEO) để đẩy các kho lưu trữ độc hại và trang GitHub của chúng lên vị trí cao hơn trong kết quả tìm kiếm. Do đó, người dùng tìm kiếm các tiện ích phần mềm, chương trình bẻ khóa hoặc công cụ chơi game có thể bắt gặp những trang độc hại này ở gần đầu kết quả tìm kiếm.

Khi một kho lưu trữ được mở ra, người dùng thường được chuyển hướng đến một trang web được thiết kế chuyên nghiệp, bắt chước trang tải xuống phần mềm chính thống. Những trang này thường quảng cáo các phần mềm gian lận game, chương trình bẻ khóa, phần mềm tăng FPS hoặc các tiện ích tuyên bố có thể chỉnh sửa hoặc tải xuống các ứng dụng như Filmora hoặc Voicemod.

Trang web này cuối cùng cung cấp một tệp lưu trữ ZIP giả vờ chứa trình cài đặt phần mềm. Khi tệp lưu trữ được tải xuống và các tệp bên trong được thực thi, phần mềm độc hại sẽ được kích hoạt và quá trình lây nhiễm BoryptGrab bắt đầu.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
21,503
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...