Notícias de dispositivos móveis, gadgets, aplicativos Android

BlackGuard – Novo malware para roubo de senhas vendido no fórum russo de hackers

O malware como serviço está se tornando um dos maiores contribuintes para os ataques cibernéticos, pois torna a entrada dos cibercriminosos extremamente mais fácil. Isso ocorre porque a maioria dos fóruns de hackers vende malware, cavalos de Tróia e vírus que estão sendo aproveitados por muitos hackers.

Em relatórios recentes de pesquisadores do Zscaler, foi encontrado um novo tipo de malware sofisticado para roubo de credenciais, denominado “Guarda Negra”. Esse malware é vendido ao preço de US$ 700 vitalícios e US$ 200 por mês.

Este malware é capaz de roubar informações relacionadas a carteiras criptográficas, credenciais de navegador salvas, clientes de e-mail, mensageiros VPN e credenciais de FTP. Este malware também tem a capacidade de evitar a detecção e também a antidepuração.

Análise

BlackGuard ainda está em fase de desenvolvimento. Está escrito em .NET embalado com cripto packer.

Evasão

Quando esse malware é executado, ele é codificado para eliminar processos relacionados a antivírus e sandbox.

Fonte: zscaler

Ofuscação de String

Este malware possui decodificação dupla. Ele é codificado em uma matriz de bytes que é primeiro decodificada em strings ASCII durante o tempo de execução. Essas strings ASCII são então decodificadas em base64. Isso ajuda a evitar antivírus e detecção baseada em strings.

Anti-CEI

BlackGuard coleta informações sobre a localização do dispositivo infectado fazendo uma solicitação para “http://ipwhois.app/xml/“. Se o BlackGuard detectar a localização de uma Comunidade de Estados Independentes (CEI), ele sairá do dispositivo.

Anti-depuração

O BlackGuard pode impedir qualquer interrupção dos usuários durante a depuração. Isso é conseguido usando user32!BlockInput(). Ele bloqueia todas as entradas de mouse e teclado.

Função de ladrão

Depois que todas as pré-verificações são executadas, o BlackGuard executa a função de ladrão que coleta várias informações sobre navegadores, software e outros diretórios.

Nós recomendamos:  A revolução do web design da IA: um site completo em apenas 10 minutos

Navegadores

BlackGuard rouba credenciais do Chrome e de outros navegadores baseados no Gecko. Ele rouba histórico, informações de preenchimento automático, senhas e downloads.

Carteiras de criptomoeda

O malware também suporta o roubo de informações de carteiras e outras informações confidenciais. Ele visa especificamente arquivos de dados confidenciais, como wallet.dat, que conterão a chave privada de acesso à carteira e outros dados. Normalmente, esses arquivos são armazenados na pasta AppData, que é alvo do malware.

Extensões criptográficas

A maioria dos navegadores possui extensões para carteiras criptografadas para facilitar o acesso aos usuários. O malware também tem como alvo navegadores como Chrome e Edge para que essas extensões roubem informações confidenciais.

Exfiltração de Comando e Controle (C2)

Depois de coletar todas essas informações da máquina de destino, ele converte os dados em um único arquivo .zip e os envia ao servidor fazendo uma solicitação POST. A solicitação também contém informações sobre o ID do hardware do sistema e o país.

Aplicativos direcionados

Navegadores

  • cromada
  • Ópera
  • Raposa de fogo
  • Maple Studio
  • Irídio
  • 7 estrelas
  • CentBrowser
  • Chedot
  • Vivaldi
  • Kometa
  • ElementsBrowser
  • Navegador de privacidade épico
  • uCozMedia
  • Coowon
  • mentira
  • QIP Surf
  • Órbita
  • Comodo
  • Amigo
  • Tocha
  • Comodo
  • Navegador 360
  • Maxton3
  • K-Melão
  • Sputnik
  • Nicromo
  • CocCoc
  • Urano
  • Cromodo
  • Borda
  • BraveSoftware

Carteiras criptográficas

  • Carteira Atômica
  • BitcoinCore
  • DashCore
  • Eletro
  • Ethereum
  • Êxodo
  • LitecoinCore
  • Monero
  • Jax
  • Zcash
  • Solar
  • Zap
  • AtômicoDEX
  • Binância
  • Quadro
  • TokenPocket
  • Wassabi

Extensões de carteira criptografada

  • Binância
  • moeda98
  • Fantasma
  • Mobox
  • XinPay
  • Matemática10
  • Metamáscara
  • BitApp
  • Carteira da Guilda
  • íconex
  • Sollet
  • SlopeWallet
  • Starcoin
  • Swash
  • Finnie
  • KEPLR
  • Crocobita
  • OXIGÊNIO
  • Legal
  • Liqualidade
  • Carteira Auvitas
  • Carteira matemática
  • Carteira MTV
  • Carteira Rabet
  • Roninwallet
  • Carteira Yoroi
  • ZilPaywallet
  • Êxodo
  • Estação Terra
  • Jax

Clientes de e-mail

Nós recomendamos:  Melhore o som de seus fones de ouvido facilmente com o aplicativo Wavelet para Android

Clientes de e-mail incluem Outlook

Outras aplicações

  • NordVPN
  • OpenVPN
  • ProtonVPN
  • Comandante total
  • Arquivozilla
  • WinSCP
  • Vapor

Mensageiros

  • Telegrama
  • Sinal
  • Toxicidade
  • Elemento
  • Pidgin
  • Discórdia

Conclusão

Embora o BlackGuard não tenha muitos aplicativos, ele ainda representa uma grande ameaça, pois é continuamente desenvolvido e aprimorado por hackers clandestinos.

Para evitar malwares ladrões como o BlackGuard,

  • Inspecione todo o tráfego de entrada e saída
  • Use MFA onde ele pode ser induzido
  • Evite o uso duplicado de senhas
  • Impedir que sites desconhecidos sejam visitados
  • Impedir que o desconhecido seja aberto
  • Use sandbox para ameaças desconhecidas

Zscaler tem publicou um relatório completo sobre como esse malware funciona e sua análise.

Você pode nos seguir em Linkedin, Twitter, Facebook para segurança cibernética diária e atualizações de notícias sobre hackers.

Recomendado: