Support technique
Documentation
Connexion
Nous contacter
Une nouvelle variante du voleur BlackGuard offre des fonctions de menace supplémentaires
Le 4 avril 2023 - L'équipe de relations publiques de TuxCare
L'équipe d'AT&T Alien Labs a découvert une nouvelle version du voleur BlackGuard avec des fonctionnalités supplémentaires telles que la propagation USB, des mécanismes de persistance, le chargement en mémoire de nouvelles charges utiles et le ciblage d'autres portefeuilles de crypto-monnaies. En outre, l'équipe a averti que le logiciel malveillant est toujours activement utilisé et que ses créateurs continuent de le développer tout en maintenant des coûts d'abonnement cohérents.
Zscaler a découvert et signalé BlackGuard en mars 2022 en tant que logiciel malveillant en tant que service (MaaS) disponible sur des forums russophones pour 200 dollars par mois ou 700 dollars à vie. La nouvelle version de BlackGuard a été publiée peu après la fin de l'opération Raccoon Stealer MaaS, et elle est rapidement devenue populaire parmi les cybercriminels en raison de ses capacités étendues de ciblage des applications.
Les cookies et les informations d'identification stockés dans les navigateurs web, les données des extensions des navigateurs de portefeuilles de crypto-monnaies, les données des portefeuilles de crypto-monnaies de bureau, les données des applications de messagerie et de jeux, les clients de messagerie et les outils FTP ou VPN sont les principales cibles de BlackGuard. La version la plus récente du logiciel malveillant ajoute plusieurs nouvelles fonctionnalités qui en font une menace plus sérieuse.
La première fonctionnalité est un module de clippage qui remplace les adresses de crypto-monnaies copiées dans le presse-papiers de Windows par l'adresse de l'attaquant afin de rediriger les transactions de crypto-monnaies vers leurs portefeuilles. Le module clipper comprend des adresses codées en dur pour une variété de crypto-monnaies, y compris Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Nectar, Bitcoin Cash et DASH, ce qui le rend compatible avec un large éventail de crypto-monnaies.
La deuxième nouveauté de BlackGuard est sa capacité à se propager via des clés USB et d'autres dispositifs amovibles, infectant tout nouvel appareil avec lequel il entre en contact. La troisième caractéristique du logiciel malveillant est sa capacité à télécharger des charges utiles supplémentaires à partir de son serveur C2 et à les exécuter dans la mémoire des ordinateurs compromis en utilisant la technique du "process hollowing" pour éviter d'être détecté par les logiciels antivirus.
La quatrième nouveauté est la capacité de BlackGuard à s'enregistrer sous la clé de registre "Exécuter", ce qui lui permet de persister entre les redémarrages du système. Enfin, le logiciel malveillant duplique ses fichiers dans chaque dossier du lecteur C :, en donnant à chaque copie un nom unique.
Les sources de cet article comprennent un article de BleepingComputer.
