Phần mềm độc hại đánh cắp mật khẩu BlackGuard mới được bán trên các diễn đàn hacker

1 tháng 4, 2022

Một phần mềm độc hại (malware) đánh cắp thông tin mới có tên BlackGuard đang thu hút sự chú ý của cộng đồng tội phạm mạng, hiện được bán trên nhiều chợ và diễn đàn darknet với giá trọn đời là 700 USD hoặc phí đăng ký là 200 USD mỗi tháng.


Kẻ trộm có thể lấy thông tin nhạy cảm từ một loạt các ứng dụng, lưu mọi thứ trong tệp ZIP và gửi nó đến C2 của hoạt động phần mềm độc hại dưới dạng dịch vụ (malware-as-a-service) (MaaS). Những kẻ đe dọa đã đăng ký mua (subscription) sau đó có thể truy cập bảng điều khiển web BlackGuard để lấy các nhật ký dữ liệu bị đánh cắp, hoặc tự khai thác hoặc bán chúng cho người khác.


 Bảng điều khiển người dùng của BlackGuard (Zscaler)

BlackGuard được phát hiện và phân tích bởi các nhà nghiên cứu tại Zscaler, những người này nhận thấy mức độ phổ biến của phần mềm độc hại (malwware) đột ngột tăng đột biến, đặc biệt là sau khi Raccoon Stealer bị khóa đột ngột.


Bleeping Computer đã phát hiện ra BlackGuard lần đầu tiên xuất hiện trên các diễn đàn nói tiếng Nga (Russian-speaking) vào tháng 1 năm 2022, được lưu hành riêng tư cho mục đích thử nghiệm.


Một bài đăng trên diễn đàn tháng 2 năm 2022 giới thiệu chiến lợi phẩm của BlackGuard (KELA)

Khả năng ăn cắp mở rộng


Với tất cả những kẻ đánh cắp thông tin hiện đại, hầu như các ứng dụng lưu trữ hoặc xử lý dữ liệu người dùng nhạy cảm đều nằm trong phạm vi mục tiêu của BlackGuard và trọng tâm là tài sản tiền điện tử. BlackGuard sẽ tìm kiếm sự hiện diện của phần mềm sau và cố gắng lấy cắp dữ liệu người dùng từ chúng:


  • Trình duyệt Web: Mật khẩu, cookies, điền tự động (autofill) và lịch sử từ Chrome, Opera, Firefox, MapleStudio, Iridium, 7Star, CentBrowser, Chedot, Vivaldi, Kometa, Elements Browser, Epic Privacy Browser, uCozMedia, Coowon, liebao, QIP Surf, Orbitum, Comodo, Amigo, Torch, Comodo, 360Browser, Maxthon3, K-Melon, Sputnik, Nichrome, CocCoc, Uran, Chromodo, Edge, BraveSoftware.


  • Tiện ích mở rộng trình duyệt ví (wallet): Binance, coin98, Phantom, Mobox, XinPay, Math10, Metamask, BitApp, Guildwallet, iconx, Sollet, Slope Wallet, Starcoin, Swash, Finnie, KEPLR, Crocobit, OXYGEN, Nifty, Liquality, Auvitas wallet, Math wallet, MTV wallet, Rabet wallet, Ronin wallet, Yoroi wallet, ZilPay wallet, Exodus, Terra Station, Jaxx. 


  • Ví tiền điện tử: AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus, LitecoinCore, Monero, Jaxx, Zcash, Solar, Zap, AtomicDEX, Binance, Frame, TokenPocket, Wassabi


  • Email: Outlook


  • Tin nhắn: Telegram, Signal, Tox, Element, Pidgin, Discord



  • Khác: NordVPN, OpenVPN, ProtonVpn, Totalcommander, Filezilla, WinSCP, Steam


Thông tin thu thập được lưu trong một tệp ZIP, còn được gọi là nhật ký và được gửi đến máy chủ C2 thông qua yêu cầu ĐĂNG (Post), cùng với báo cáo hồ sơ hệ thống đặt ID phần cứng duy nhất cho nạn nhân và xác định vị trí của họ.


Đánh cắp thông tin từ một loạt các trình duyệt web (Zscaler)

Các tính năng chống phát hiện


Khả năng trốn của BlackGuard vẫn đang phát triển mạnh, nhưng một số hệ thống sẵn sàng để giúp phần mềm độc hại (malware) thoát khỏi sự phát hiện và phân tích.


Đầu tiên, nó được đóng gói với một crypter và tất cả các chuỗi đều bị xáo trộn base64, vì vậy nhiều công cụ chống virus dựa vào phát hiện tĩnh sẽ bỏ sót nó. Bất kỳ AV nào đang chạy trên hệ thống sẽ bị phần mềm độc hại (malware) phát hiện, sau đó sẽ tìm cách tiêu diệt các quy trình và chấm dứt hoạt động của chúng. Phần mềm độc hại (malware) cũng kiểm tra địa chỉ IP của nạn nhân và nếu nó đang chạy trên hệ thống ở Nga hoặc bất kỳ quốc gia SNG nào khác, nó sẽ dừng và thoát ra. Đây là một dấu hiệu khác về nguồn gốc của phần mềm độc hại (malware).


Danh sách các quốc gia bị loại trừ khỏi các cuộc tấn công(Zscaler)

Cuối cùng, tính năng chống gỡ lỗi chặn hoạt động của đầu vào chuột và bàn phím, khiến các nhà nghiên cứu khó phân tích phần mềm độc hại (malware) hơn.


Quan điểm


Những kẻ đánh cắp thông tin đang gia tăng, với Redline, MarsStealer, Vidar Stealer và AZORult hiện đang thống trị không gian.


Sự biến mất của Raccoon Stealer, một trong những người chơi lớn nhất, đã để lại một khoảng trống trong thị trường tội phạm mạng, vì vậy các nhà khai thác MaaS khác sẽ cố gắng tận dụng sự phát triển này.


Daria Romana Pop, một nhà phân tích mối đe dọa tại KELA, đã chia sẻ những thông tin chi tiết sau đây với Bleeping Computer về tình trạng của những kẻ đánh cắp thông tin:


"Do sự gia tăng việc sử dụng và khai thác các tài khoản bị xâm nhập và dữ liệu mà những kẻ đánh cắp thông tin thu được như một vật trung gian để truy cập ban đầu vào mục tiêu, KELA gần đây đã quan sát thấy các biến thể mới được quảng cáo trên các diễn đàn tội phạm mạng, vì các tác nhân đe dọa cố gắng cải thiện khả năng của phần mềm độc hại (malware) tốt hơn nhằm tránh bị phát hiện và thúc đẩy quá trình thu thập và lọc dữ liệu."


"Kẻ đánh cắp BlackGuard ra mắt vào đầu năm 2021. Vì tội phạm mạng liên tục kiểm tra khả năng của các công cụ độc hại như vậy, họ không né tránh yêu cầu chất lượng và cải tiến nhiều. KELA đã xem một số cuộc thảo luận gần đây, trong đó người dùng phàn nàn về việc BlackGuard không thể hoạt động mà không bị phát hiện. Như trong bất kỳ doanh nghiệp nào, các nhà vận hành đã hứa sẽ cung cấp phiên bản cập nhật ngay lập tức."


Tác giả của BlackGuard hứa hẹn sẽ cải thiện chương trình chống phát hiện (KELA)

"Trong một kịch bản khác, KELA đã xác định META - một kẻ đánh cắp thông tin mới có bề ngoài rất giống với RedLine, kẻ có dữ liệu thu thập được đang được bán trên thị trường botnet TwoEasy. Nó đã được tung ra vào đầu tháng 3, hiện được bán với giá 125 USD mỗi tháng hoặc 1000 USD để sử dụng không giới hạn và các nhà khai thác cho rằng đó là phiên bản cải tiến của RedLine"


Kẻ đánh cắp thông tin META được quảng cáo trên các diễn đàn hack(KELA)

Để bảo vệ bạn khỏi tất cả phần mềm độc hại (malware) ăn cắp thông tin đang lưu hành, hãy tránh truy cập các trang web mờ ám và không tải xuống tệp từ các nguồn không đáng tin cậy hoặc không rõ ràng.


Cuối cùng, sử dụng xác thực hai yếu tố, giữ cho hệ điều hành và ứng dụng của bạn được cập nhật, đồng thời sử dụng mật khẩu mạnh và duy nhất cho tất cả các tài khoản trực tuyến của bạn.


Nguồn: Bleepingcomputer.com

Bạn cũng có thể quan tâm

TP-Link sửa lỗi RCE nghiêm trọng trong bộ định tuyến chơi game C5400X phổ biến

4 tháng 6, 2024
Bộ định tuyến chơi game TP-Link Archer C5400X dễ mắc phải các lỗi bảo mật có thể cho phép kẻ tấn công từ xa, không được xác thực thực thi các lệnh trên thiết bị.

Tin tặc nhắm mục tiêu VPN Check Point để xâm nhập mạng doanh nghiệp

3 tháng 6, 2024
Ngày 27 tháng 5 Check Point đã cảnh báo rằng các tác nhân đe dọa đang nhắm mục tiêu vào các thiết bị VPN truy cập từ xa của Check Point trong một chiến dịch đang diễn ra nhằm xâm phạm mạng doanh nghiệp.

Sav-Rx tiết lộ vụ tấn công dữ liệu ảnh hưởng đến 2,8 triệu người Mỹ

31 tháng 5, 2024
Công ty quản lý đơn thuốc Sav-Rx cảnh báo hơn 2,8 triệu cá nhân ở Hoa Kỳ việc họ đã bị vi phạm dữ liệu và dữ liệu cá nhân của họ đã bị đánh cắp trong một cuộc tấn công mạng năm 2023.
Thêm bài viết
Share by: