BlackGuard adlı yeni bir bilgi çalan kötü amaçlı yazılım, siber suç topluluğunun dikkatini çekiyor ve şu anda çok sayıda darknet pazarında ve forumda ömür boyu 700 $ veya aylık 200 $ abonelik karşılığında satılıyor.
Hırsız, çok çeşitli uygulamalardan hassas bilgileri kapabilir, her şeyi bir ZIP arşivinde paketleyebilir ve hizmet olarak kötü amaçlı yazılım (MaaS) işleminin C2’sine gönderebilir.
Aboneliği satın alan tehdit aktörleri, çalınan veri günlüklerini almak için BlackGuard web paneline erişebilir, bu günlükleri ya kendileri sömürebilir ya da başkalarına satabilir.
BlackGuard, araştırmacılar tarafından tespit edildi ve analiz edildi. Zscalerözellikle kötü amaçlı yazılımın popülaritesinde ani bir artış fark eden Raccoon Stealer’ın kapatılması.
Bleeping Computer, BlackGuard’ın ilk olarak Ocak 2022’de Rusça konuşulan forumlarda göründüğünü ve test amacıyla özel olarak dağıtıldığını bulabildi.
Kapsamlı çalma yetenekleri
Tüm modern bilgi hırsızlarında olduğu gibi, BlackGuard’ın hedefleme kapsamında olmayan hassas kullanıcı verilerini depolayan veya işleyen pek çok uygulama yoktur ve odak noktası kripto para varlıkları üzerindedir.
BlackGuard, aşağıdaki yazılımın varlığını arayacak ve bunlardan kullanıcı verilerini çalmaya çalışacaktır:
- internet tarayıcıları: Chrome, Opera, Firefox, MapleStudio, Iridium, 7Star, CentBrowser, Chedot, Vivaldi, Kometa, Elements Browser, Epic Privacy Browser, uCozMedia, Coowon, liebao, QIP Surf, Orbitum, Comodo’dan şifreler, tanımlama bilgileri, otomatik doldurma ve geçmiş Amigo, Torch, Comodo, 360Browser, Maxthon3, K-Melon, Sputnik, Nichrome, CocCoc, Uran, Chromodo, Edge, BraveSoftware
- Cüzdan tarayıcı uzantıları: Binance, coin98, Phantom, Mobox, XinPay, Math10, Metamask, BitApp, Guildwallet, iconx, Sollet, Slope Cüzdanı, Starcoin, Swash, Finnie, KEPLR, Crocobit, OXYGEN, Nifty, Liquality, Auvitas cüzdanı, Matematik cüzdanı, MTV cüzdanı , Rabet cüzdanı, Ronin cüzdanı, Yoroi cüzdanı, ZilPay cüzdanı, Exodus, Terra Station, Jaxx
- Kripto para cüzdanları: AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus, LitecoinCore, Monero, Jaxx, Zcash, Solar, Zap, AtomicDEX, Binance, Çerçeve, TokenPocket, Wassabi
- E-posta: Görünüm
- haberciler: Telegram, Signal, Tox, Element, Pidgin, Discord
- Diğer: NordVPN, OpenVPN, ProtonVpn, Totalcommander, Filezilla, WinSCP, Steam
Toplanan bilgiler, günlükler olarak da bilinen bir ZIP dosyasında paketlenir ve kurban için benzersiz bir donanım kimliği belirleyen ve konumlarını belirleyen bir sistem profili oluşturma raporuyla birlikte bir POST isteği aracılığıyla C2 sunucusuna gönderilir.
Algılama önleme özellikleri
BlackGuard’ın kaçınma yetenekleri hala yoğun bir geliştirme aşamasındadır, ancak kötü amaçlı yazılımın tespit ve analizden kaçmasına yardımcı olmak için bazı sistemler zaten mevcuttur.
İlk olarak, bir şifreleyici ile doludur ve tüm dizeleri base64 ile karıştırılmıştır, bu nedenle statik algılamaya dayanan birçok anti-virüs aracı onu kaçıracaktır.
Sistemde çalışan tüm AV’ler, kötü amaçlı yazılım tarafından algılanacak ve daha sonra süreçleri öldürmeye ve işlemlerini sonlandırmaya çalışacaktır.
Kötü amaçlı yazılım ayrıca kurbanın IP adresini de kontrol eder ve Rusya’daki veya başka bir BDT ülkesindeki bir sistemde çalışıyorsa durur ve çıkar. Bu, kötü amaçlı yazılımın kaynağının bir başka göstergesidir.
Son olarak, bir anti-debug özelliği fare ve klavye girişlerinin çalışmasını engelleyerek araştırmacıların kötü amaçlı yazılımı analiz etmesini daha da zorlaştırıyor.
Görünüm
Bilgi hırsızları artıyor Kırmızı cizgi, MarsHırsız, Vidar hırsızıve AZORult şu anda alana hakim.
En büyük oyunculardan biri olan Raccoon Stealer’ın çıkışı siber suç pazarında bir boşluk bıraktı, bu nedenle diğer MaaS operatörleri bu gelişmeden yararlanmaya çalışacak.
Daria Romana Pop, bir tehdit analisti KELAbilgi hırsızları manzarasının durumu hakkında Bleeping Computer ile aşağıdaki öngörüleri paylaştı:
“Bir hedefe ilk erişim için bir vektör olarak bilgi hırsızları tarafından elde edilen verilerin ve güvenliği ihlal edilmiş hesapların kullanımındaki ve sömürüdeki artış göz önüne alındığında, KELA son zamanlarda siber suç forumlarında reklamı yapılan yeni varyantları gözlemledi, çünkü tehdit aktörleri kötü amaçlı yazılım yeteneklerini daha iyi hale getirmeyi hedefliyor. algılamayı önlemek ve veri toplama ve sızdırma işlemlerini ilerletmek.”
“BlackGuard hırsızı 2021’in başlarında piyasaya sürüldü. Siber suçlular bu tür kötü amaçlı araçların yeteneklerini sürekli olarak test ettiğinden, daha fazla kalite ve iyileştirme talep etmekten çekinmiyorlar. KELA, kullanıcıların BlackGuard’ın düzgün şekilde çalışamamasından şikayet ettiği birkaç son tartışmaya rastladı. Herhangi bir işte olduğu gibi, operatörler en kısa sürede güncellenmiş bir sürüm sağlamaya söz verdiler.”
“Farklı bir senaryoda, KELA META’yı tanımladı – toplanan verileri TwoEasy botnet pazarında satılan RedLine’a çok benzeyen yeni bir bilgi hırsızı. Hırsız Mart ayının başında piyasaya sürüldü, şimdi ayda 125 ABD Doları veya Sınırsız kullanım için 1000 USD ve operatörler bunun RedLine’ın geliştirilmiş bir versiyonu olduğunu iddia ediyor.”
Kendinizi dolaşan bilgi çalan tüm kötü amaçlı yazılımlardan korumak için, gölgeli web sitelerini ziyaret etmekten ve güvenilmez veya şüpheli kaynaklardan dosya indirmekten kaçının.
Son olarak, iki faktörlü kimlik doğrulamayı kullanın, işletim sisteminizi ve uygulamalarınızı güncel tutun ve tüm çevrimiçi hesaplarınız için güçlü ve benzersiz parolalar kullanın.