多许可证折扣报价
威胁数据库 窃贼 BoryptGrab Stealer

BoryptGrab Stealer

通过Mezo窃贼, 高级持续性威胁 (APT)
翻译为:

BoryptGrab 是一种复杂的恶意软件,旨在从受感染的系统中窃取敏感数据。该威胁主要通过虚假的 GitHub 代码库和推广免费软件工具的欺骗性下载页面传播。这些恶意页面经过精心设计,看起来合法,从而增加了毫无戒心的用户下载并执行受感染文件的可能性。

在某些攻击链中,BoryptGrab 还会植入一个名为 TunnesshClient 的恶意组件,这是一个后门程序,能够实现对受感染设备的远程访问和进一步攻击。一旦在系统中检测到 BoryptGrab 或任何相关威胁,必须立即将其移除,以防止进一步的数据窃取或系统遭到破坏。

规避技术和权限提升

在启动其主要有效载荷之前,BoryptGrab 会执行多项检查,旨在规避安全研究人员和自动化分析环境。该恶意软件会检查系统文件和配置设置,以确定其是否运行在虚拟机中。安全分析师通常会使用此类环境,检测到虚拟机后,恶意软件可以改变其行为或停止执行。

除了虚拟机检测之外,该恶意软件还会扫描活动进程,以识别已知的分析或调试工具。如果检测到这些工具,恶意活动可能会被抑制,从而避免暴露。感染过程中的另一个重要步骤是尝试获取管理员权限,这使得恶意软件能够访问受保护的系统区域并窃取更广泛的敏感信息。

浏览器数据采集能力

BoryptGrab 的主要目标是收集存储在网络浏览器中的敏感信息。该恶意软件针对多种常用浏览器,包括 Brave 浏览器、CentBrowser、Chromium、Google Chrome、Microsoft Edge、Mozilla Firefox、Opera、Vivaldi 和 Yandex 浏览器。

从这些浏览器中提取的信息通常包括登录凭证、自动填充数据、浏览历史记录和其他存储的个人数据。为了辅助这一过程,BoryptGrab 会下载一个基于 Chromium 的专用工具,该工具能够高效地提取浏览器数据。这显著增加了可从受感染系统中窃取的信息量。

加密货币钱包遭受攻击

加密货币资产是BoryptGrab的另一主要攻击目标。该恶意软件会搜索本地存储的与桌面加密货币钱包和数字资产管理浏览器扩展程序相关的数据。通过提取钱包数据,攻击者可能获得访问或转移已存储资金的能力。

该恶意软件专门针对多种钱包应用程序及相关服务,包括:

  • 军械钱包
  • 原子
  • AtomicDEX
  • 币安
  • 比特币核心
  • BitPay
  • Blockstream Green
  • Chia钱包
  • 科伊诺米
  • 自付额
  • 代达罗斯主网
  • Dash Core
  • 狗狗币
  • 电子现金
  • 琥珀金
  • ElectrumLTC
  • 以太坊
  • 出埃及记
  • 绿地址
  • 瓜尔达
  • Jaxx桌面
  • Komodo钱包
  • Ledger Live
  • Ledger钱包
  • 莱特币核心
  • MEW桌面
  • 多犬
  • 我的以太坊钱包
  • NOW钱包
  • 渡鸦核心
  • StakeCube
  • Trezor 套件
  • Wasabi钱包

如此详尽的列表凸显了该恶意软件对金融盗窃的强烈关注。

扩大数据收集和泄露

除了浏览器和加密货币钱包之外,BoryptGrab 还会从受感染的系统中收集其他数据。该恶意软件会搜索常用目录,查找具有特定扩展名的文件,这些文件可能包含有价值的信息。即时通讯应用程序和其他通信平台也是其攻击目标。

收集到的数据可能包括 Telegram 文件、已存储的浏览器密码,以及在较新变种的恶意软件中可能包含的 Discord 身份验证令牌。数据收集完成后,BoryptGrab 会截取受害者桌面的屏幕截图,并收集受感染机器的常规系统信息。所有收集到的数据随后会被压缩成一个存档文件,并传输到攻击者控制的服务器。

TunnesshClient 后门:远程控制和流量隧道

某些版本的 BoryptGrab 会部署一个名为 TunnesshClient 的恶意工具,但并非所有变种都具备此功能。TunnesshClient 是一个基于 Python 的后门程序,它为攻击者提供远程命令执行能力。

通过这个后门,网络犯罪分子可以直接向受感染的系统发出指令。该工具还能通过反向 SSH 连接转发网络流量,使攻击者能够将互联网活动路由到受感染的设备。此功能可用于隐藏恶意操作、实施进一步攻击或在受害者网络中保持长期驻留。

BoryptGrab感染的后果

BoryptGrab 系统一旦被成功入侵,可能会给受害者带来严重后果。被盗信息通常包括凭证、个人数据和加密货币钱包详情,这些信息可能立即被网络犯罪分子利用。

此类攻击的常见影响包括:

  • 因加密货币被盗或金融账户被盗而造成的经济损失
  • 因个人数据或身份验证数据泄露而导致的身份盗窃
  • 被劫持的在线账户,例如电子邮件、社交媒体或即时通讯平台
  • 通过其他恶意软件组件传播的二次感染

鉴于这些风险,立即从受感染的设备中清除恶意软件对于限制进一步损害至关重要。

感染途径:恶意GitHub页面和虚假软件下载

BoryptGrab 的传播策略严重依赖社会工程学和对可信开发平台的操纵。网络犯罪分子创建看似托管合法软件项目的公共 GitHub 代码库。这些代码库通常包含旨在模仿正规工具的文档、文件和描述。

为了最大限度地提高曝光率,攻击者会利用搜索引擎优化技术,将其恶意代码库和 GitHub Pages 的排名提升到搜索结果的更靠前位置。因此,搜索软件实用程序、破解程序或游戏工具的用户可能会在搜索结果的顶部附近看到这些恶意页面。

一旦打开软件仓库,用户通常会被重定向到一个设计专业的网站,该网站模仿正规的软件下载页面。这些页面经常宣传游戏作弊软件、破解程序、FPS 提升器,或者声称可以修改或下载 Filmora 或 Voicemod 等应用程序的实用工具。

该网站最终提供一个伪装成软件安装程序的 ZIP 压缩包。当下载该压缩包并执行其中的文件后,恶意代码就会被激活,BoryptGrab 感染过程随即开始。

趋势

0apt Locker 勒索软件

勒索软件
在网络犯罪活动日益组织化、自动化且以经济利益为驱动的时代,保护设备免受恶意软件的侵害已成为至关重要的优先事项。特别是勒索软件攻击,可在数分钟内瘫痪个人和组织,造成经济损失、声誉损害和数据永久泄露。安全研究人员目前正在追踪的一种复杂威胁是 0apt Locker 勒索软件,该软件旨在加密数据、勒索受害者,并通过恐吓手段迫使其迅速支付赎金。 0apt Locker:威胁概述 0apt...

Critical-service.cc

恶意网站, 广告软件, 浏览器劫持者
上网需要时刻保持警惕。网络犯罪分子不断开发欺骗手段,诱使用户损害自身安全。尤其是一些恶意网站,它们常常利用虚假的验证码和误导性提示,诱导用户点击“允许”按钮。用户一旦点击,就会在不知不觉中订阅大量推送通知。这些通知中的广告往往可疑且不安全。点击这些通知可能会使用户接触到恶意网站、网络诈骗以及传播潜在有害程序 (PUP)、广告软件、浏览器劫持程序甚至恶意软件的不可靠下载平台。...

最受关注

如何修复“打印机驱动程序不可用”错误

问题
34,789
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

问题
28,220
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...
正在加载...