Зустрічайте BlackGuard: новий інфокрадій, який продають на російських хакерських форумах

Дослідники виявили нову зловмисну ​​програму-викрадач інформації, яку поширюють на російських підпільних форумах.

Дубльований BlackGuard, zScaler каже, що новий штам зловмисного програмного забезпечення є «складним» і став доступним для злочинних покупців за місячну ціну в 200 доларів США.

Викрадачі інформації — це форми зловмисного програмного забезпечення, призначені для збирання цінних даних, зокрема інформації про операційну систему, контакти списки, знімки екрана, мережевий трафік і облікові дані онлайн-облікового запису, включаючи ті, що використовуються для доступу до фінансових послуг і банківська справа.

Різноманітне шкідливе програмне забезпечення та комплекти експлойтів щодня продаються підпільно, деякі з яких купуються начисто. Навпаки, інші пропонуються на основі зловмисного програмного забезпечення як послуги (MaaS): передплатники платять щотижня, щомісяця або щороку, а розробник у відповідь оновлює свої шкідливі творіння.

Можливо, щоб створити клієнтську базу для цього зловмисного програмного забезпечення або швидко отримати гроші, BlackGuard також продається за 700 доларів США в обмін на довічну підписку.

За словами дослідників кібербезпеки, BlackGuard може викрадати інформацію, включаючи збережені облікові дані та історію браузера, електронну пошту дані клієнта, облікові записи FTP, вміст автозаповнення, розмови в програмному забезпеченні обміну повідомленнями, облікові дані криптовалюти та інші облікові записи інформації. Цільовими месенджерами є Telegram, Signal, Tox, Element і Discord.

Коли мова заходить про крадіжку криптовалюти, зловмисне програмне забезпечення націлюється на такі файли, як wallet.dat, які можуть містити адреси гаманців і закриті ключі. BlackGuard також може спробувати розширення веб-браузера гаманця криптовалюти Chrome і Edge.

Написаний у .NET, інфокрадійка все ще знаходиться в активній розробці, але вже оснащена крипто пакувальник, декодування base64, обфускація та можливості захисту від помилок, щоб зробити зворотний інженер більше важко.

Потрапивши на вразливу машину, зловмисне програмне забезпечення також перевірить процеси операційної системи та спробує зупинити будь-які дії, пов’язані з антивірусним програмним забезпеченням або ізольованим програмним середовищем.

Інфостілер також вибірковий, коли справа стосується його цілей. Наприклад, зловмисне програмне забезпечення вийде, якщо ОС розташована в країні СНД, наприклад у Росії, Білорусі чи Азербайджані.

Якщо вихід не потрібний, infostealer збирає всю можливу інформацію, пакує її в архів .zip і надсилає на сервер керування (C2) через запит POST.

«Хоча застосування BlackGuard не таке широке, як інші викрадачі, BlackGuard є зростаючою загрозою, оскільки продовжує вдосконалюватись і завойовує сильну репутацію в підпільному співтоваристві», – дослідники казати.

Інфостілери можна використовувати самостійно або разом із іншими формами зловмисного програмного забезпечення, наприклад троянами чи варіантами програм-вимагачів.

Серед інших новин про зловмисне програмне забезпечення: дослідники з Aqua Security нещодавно виявили нове штам програм-вимагачів призначений для націлювання на середовища Jupyter Notebook.

Попереднє та супутнє покриття

• Ця нова програма-вимагач націлена на інструмент візуалізації даних Jupyter Notebook
  
• Менеджери з кібербезпеки з прямим зв’язком із виконавчими органами задають тон інвестиціям: дослідження
  
• Глобант зізнався у витоку даних після того, як Lapsus$ оприлюднив вихідний код
  

---

Є підказка? Безпечно зв’яжіться через WhatsApp | Сигнал за номером +447713 025 499 або на Keybase: charlie0

---