Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Neue Variante des BlackGuard-Stealers bietet zusätzliche Bedrohungsfunktionen
April 4, 2023 - TuxCare PR Team
Das AT&T Alien Labs-Team entdeckte eine neue Version des BlackGuard-Stehlers mit zusätzlichen Funktionen wie USB-Verbreitung, Persistenzmechanismen, Laden neuer Nutzdaten in den Speicher und Anvisieren anderer Kryptowährungs-Wallets. Darüber hinaus hat das Team gewarnt, dass die Malware immer noch aktiv genutzt wird und ihre Schöpfer sie bei gleichbleibenden Abonnementkosten weiter entwickeln.
Zscaler entdeckte und meldete BlackGuard im März 2022 als Malware-as-a-Service (MaaS), der in russischsprachigen Foren für 200 US-Dollar pro Monat oder einen lebenslangen Preis von 700 US-Dollar angeboten wurde. Die neue Version von BlackGuard wurde kurz nach dem Ende der Raccoon Stealer-MaaS-Operation veröffentlicht und erfreute sich aufgrund seiner umfangreichen App-Targeting-Funktionen schnell großer Beliebtheit bei Cyberkriminellen.
Cookies und Anmeldeinformationen, die in Webbrowsern gespeichert sind, Daten von Browser-Erweiterungen für Kryptowährungs-Wallets, Daten von Desktop-Kryptowallets, Messaging- und Gaming-Apps, E-Mail-Clients und FTP- oder VPN-Tools sind die primären Ziele von BlackGuard. Die neueste Version der Malware fügt mehrere neue Funktionen hinzu, die sie zu einer ernsthaften Bedrohung machen.
Die erste Funktion ist ein Clipper-Modul, das Kryptowährungsadressen, die in die Windows-Zwischenablage kopiert werden, durch die Adresse des Angreifers ersetzt, um Kryptowährungstransaktionen auf deren Geldbörsen umzuleiten. Das Clipper-Modul enthält hartkodierte Adressen für eine Vielzahl von Kryptowährungen, darunter Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Nectar, Bitcoin Cash und DASH, wodurch es mit einer breiten Palette von Kryptowährungen kompatibel ist.
Die zweite neue Funktion von BlackGuard ist seine Fähigkeit, sich über USB-Sticks und andere Wechseldatenträger zu verbreiten und jedes neue Gerät zu infizieren, mit dem er in Kontakt kommt. Das dritte Merkmal der Malware ist die Fähigkeit, zusätzliche Nutzdaten von ihrem C2-Server herunterzuladen und sie im Speicher kompromittierter Computer auszuführen, wobei die Technik des "Process Hollowing" zum Einsatz kommt, um eine Erkennung durch Antiviren-Software zu vermeiden.
Die vierte neue Funktion ist die Fähigkeit von BlackGuard, sich unter dem Registrierungsschlüssel "Ausführen" zu registrieren, so dass er zwischen Systemneustarts bestehen bleibt. Schließlich dupliziert die Malware ihre Dateien in jedem Ordner auf dem Laufwerk C: und gibt jeder Kopie einen eindeutigen Namen.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.
