BoryptGrab Stealer

BoryptGrab 是一種複雜的惡意軟體，旨在從受感染的系統中竊取敏感資料。該威脅主要透過虛假的 GitHub 程式碼庫和推廣免費軟體工具的欺騙性下載頁面傳播。這些惡意頁面經過精心設計，看起來合法，增加了毫無戒心的用戶下載並執行受感染檔案的可能性。

在某些攻擊鏈中，BoryptGrab 還會植入一個名為 TunnesshClient 的惡意元件，這是一個後門程序，能夠實現對受感染設備的遠端存取和進一步攻擊。一旦在系統中偵測到 BoryptGrab 或任何相關威脅，必須立即移除，以防止進一步的資料竊取或系統遭到破壞。

規避技術和權限提升

在啟動其主要有效載荷之前，BoryptGrab 會執行多項檢查，旨在避免安全研究人員和自動化分析環境。該惡意軟體會檢查系統檔案和配置設置，以確定是否運行在虛擬機器中。安全分析師通常會使用此類環境，檢測到虛擬機器後，惡意軟體可以改變其行為或停止執行。

除了虛擬機器偵測之外，該惡意軟體還會掃描活動進程，以識別已知的分析或偵錯工具。如果偵測到這些工具，惡意活動可能會被抑制，從而避免暴露。感染過程中的另一個重要步驟是嘗試取得管理員權限，這使得惡意軟體能夠存取受保護的系統區域並竊取更廣泛的敏感資訊。

瀏覽器數據採集能力

BoryptGrab 的主要目標是收集儲存在網頁瀏覽器中的敏感資訊。該惡意軟體針對多種常用瀏覽器，包括 Brave 瀏覽器、CentBrowser、Chromium、Google Chrome、Microsoft Edge、Mozilla Firefox、Opera、Vivaldi 和 Yandex 瀏覽器。

從這些瀏覽器中提取的資訊通常包括登入憑證、自動填入資料、瀏覽記錄和其他儲存的個人資料。為了輔助這個過程，BoryptGrab 會下載一個基於 Chromium 的專用工具，該工具能夠有效率地擷取瀏覽器資料。這顯著增加了可從受感染系統中竊取的資訊量。

加密貨幣錢包遭受攻擊

加密貨幣資產是BoryptGrab的另一個主要攻擊目標。該惡意軟體會搜尋本地儲存的與桌面加密貨幣錢包和數位資產管理瀏覽器擴充功能相關的資料。透過提取錢包數據，攻擊者可能獲得存取或轉移已儲存資金的能力。

該惡意軟體專門針對多種錢包應用程式及相關服務，包括：

• 軍械錢包
• 原子
• AtomicDEX
• 幣安
• 比特幣核心
• BitPay
• Blockstream Green
• Chia錢包
• 科伊諾米
• 自付額
• 代達羅斯主網
• Dash Core
• 狗狗幣
• 電子現金
• 琥珀金
• ElectrumLTC
• 以太坊
• 出埃及記
• 綠色地址
• 瓜爾達
• Jaxx桌面
• Komodo錢包
• Ledger Live
• Ledger錢包
• 萊特幣核心
• MEW桌面
• 多犬
• 我的以太坊錢包
• NOW錢包
• 渡鴉核心
• StakeCube
• Trezor 套件
• Wasabi錢包

如此詳盡的清單凸顯了該惡意軟體對金融盜竊的強烈關注。

擴大資料收集和洩露

除了瀏覽器和加密貨幣錢包之外，BoryptGrab 還會從受感染的系統中收集其他資料。該惡意軟體會搜尋常用目錄，尋找具有特定副檔名的文件，這些文件可能包含有價值的資訊。即時通訊應用程式和其他通訊平台也是其攻擊目標。

收集到的資料可能包括 Telegram 檔案、已儲存的瀏覽器密碼，以及在較新變種的惡意軟體中可能包含的 Discord 驗證令牌。資料收集完成後，BoryptGrab 會截取受害者桌面的螢幕截圖，並收集受感染機器的常規系統資訊。所有收集到的資料隨後會被壓縮成一個存檔文件，並傳輸到攻擊者控制的伺服器。

TunnesshClient 後門：遠端控制與流量隧道

某些版本的 BoryptGrab 會部署一個名為 TunnesshClient 的惡意工具，但並非所有變種都具備此功能。 TunnesshClient 是一個基於 Python 的後門程序，它為攻擊者提供遠端命令執行能力。

透過這個後門，網路犯罪分子可以直接向受感染的系統發出指令。該工具還能透過反向 SSH 連線轉送網路流量，使攻擊者能夠將網路活動路由到受感染的裝置。此功能可用於隱藏惡意操作、實施進一步攻擊或在受害者網路中保持長期駐留。

BoryptGrab感染的後果

BoryptGrab 系統一旦被成功入侵，可能會對受害者造成嚴重後果。被盜資訊通常包括憑證、個人資料和加密貨幣錢包詳情，這些資訊可能會立即被網路犯罪分子利用。

此類攻擊的常見影響包括：

• 因加密貨幣被竊或金融帳戶被竊而造成的經濟損失
• 因個人資料或身份驗證資料外洩而導致的身份盜竊
• 被劫持的線上帳戶，例如電子郵件、社交媒體或即時通訊平台
• 透過其他惡意軟體元件傳播的二次感染

鑑於這些風險，立即從受感染的裝置中清除惡意軟體對於限制進一步損害至關重要。

感染途徑：惡意GitHub頁面和虛假軟體下載

BoryptGrab 的傳播策略嚴重依賴社會工程學和對可信任開發平台的操縱。網路犯罪分子創建看似託管合法軟體專案的公共 GitHub 程式碼庫。這些程式碼庫通常包含旨在模仿正規工具的文件、文件和描述。

為了最大限度地提高曝光率，攻擊者會利用搜尋引擎優化技術，將其惡意程式碼庫和 GitHub Pages 的排名提升到搜尋結果的更前位置。因此，搜尋軟體實用程式、破解程式或遊戲工具的用戶可能會在搜尋結果的頂部附近看到這些惡意頁面。

一旦打開軟體倉庫，使用者通常會被重定向到一個設計專業的網站，該網站模仿正規的軟體下載頁面。這些頁面經常宣傳遊戲作弊軟體、破解程式、FPS 提升器，或聲稱可以修改或下載 Filmora 或 Voicemod 等應用程式的實用工具。

該網站最終提供一個偽裝成軟體安裝程式的 ZIP 壓縮套件。當下載該壓縮包並執行其中的檔案後，惡意程式碼就會被激活，BoryptGrab 感染過程隨即開始。