Uma nova variante do BlackGuard Stealer foi detectada, apresentando novas capacidades como propagação USB, mecanismos de persistência, carregamento de payloads adicionais na memória e direcionamento a carteiras de criptomoedas adicionais.
O BlackGuard foi detectado pela primeira vez pela Zscaler em março de 2022, que relatou que o malware era vendido para criminosos cibernéticos em fóruns de língua russa como um MaaS (malware como serviço) por $200/mês ou um preço vitalício de $700.
O novo stealer apareceu logo após o fechamento da operação original do Raccoon Stealer MaaS, desfrutando de boas taxas de adoção enquanto oferecia extensas capacidades de direcionamento de aplicativos.
Esta nova versão do BlackGuard Stealer foi descoberta por analistas da AT&T, que alertam que o malware ainda está muito ativo, com seus autores constantemente melhorando-o enquanto mantêm o custo da assinatura estável.
O escopo de direcionamento do BlackGuard continua extenso, tentando roubar cookies e credenciais armazenados em navegadores da web, dados de extensões de navegador de carteira de criptomoedas, dados de carteiras de criptomoedas de desktop, informações de aplicativos de mensagens e jogos, clientes de e-mail e ferramentas de FTP ou VPN.
O que é mais interessante na versão mais recente são as novas funcionalidades que foram introduzidas, tornando o BlackGuard uma ameaça muito mais potente.
Primeiro, um módulo de sequestro de carteira de criptomoedas (clipper) substitui os endereços de criptomoeda copiados para a área de transferência do Windows com o endereço do ator ameaça, esperando desviar transações de criptomoeda para suas próprias carteiras.
O clipper tem endereços codificados para Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Nectar, Bitcoin Cash e DASH, portanto, suporta várias criptomoedas.
A segunda nova funcionalidade é a capacidade do BlackGuard de se propagar via pen drives USB e outros dispositivos removíveis e infectar automaticamente qualquer novo host que alcance.
A terceira adição é a capacidade do malware de baixar payloads adicionais do servidor C2 e executá-los diretamente na memória do computador violado usando o método "process hollowing", evitando assim a detecção de ferramentas AV.
A quarta nova funcionalidade é a capacidade do BlackGuard de se adicionar à chave de registro "Executar", obtendo assim persistência entre reinicializações do sistema.
Por fim, uma funcionalidade copia arquivos de malware para todas as pastas na unidade C:\, dando a cada cópia dos arquivos um nome aleatório.
Além dessas funcionalidades, o BlackGuard agora está direcionando 57 extensões e carteiras criptográficas, tentando roubar seus dados e drenar ativos de criptomoeda.
Em agosto, quando a Zscaler analisou o malware, ele havia roubado dados de apenas 45 extensões e carteiras relacionadas à criptomoeda.
Algumas das extensões visadas incluem Binance, Phantom, Metamask, BitApp, Guildwallet, Slope Wallet, Starcoin e extensões de carteira Ronin.
Algumas das carteiras dedicadas visadas são AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus crypto e LiteCoinCore wallets.
Os analistas da AT&T comentam que esse sistema de duplicação é mais uma inconveniência do que uma vantagem.
No entanto, os operadores podem ter implementado esse sistema para tornar a remoção do malware mais difícil.
Em conclusão, a versão mais recente do BlackGuard demonstra a evolução contínua do malware que compete no espaço MaaS, adicionando principalmente funcionalidades significativas que representam um risco ainda maior para os usuários.
Para manter o risco de infecções do BlackGuard sob controle, evite baixar executáveis de sites não confiáveis, não abra arquivos que chegam como anexos de e-mail de remetentes desconhecidos e mantenha seu sistema e ferramentas AV atualizados.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...