추가 위협 기능을 제공하는 새로운 변종 블랙가드 스틸러
AT&T 에일리언 랩 팀은 USB 전파, 지속성 메커니즘, 새로운 페이로드의 메모리 로딩, 다른 암호화폐 지갑 표적화 등의 추가 기능을 갖춘 새로운 버전의 BlackGuard 도둑을 발견했습니다. 또한 이 팀은 이 멀웨어가 여전히 활발하게 사용되고 있으며, 제작자가 지속적인 구독 비용을 유지하면서 개발을 계속하고 있다고 경고했습니다.
Zscaler는 2022년 3월에 러시아어를 사용하는 포럼에서 월 200달러 또는 평생 700달러의 가격으로 제공되는 서비스형 멀웨어(MaaS)인 BlackGuard를 발견하여 보고했습니다. 새로운 버전의 BlackGuard는 라쿤 스틸러 MaaS 작전이 종료된 직후에 출시되었으며, 광범위한 앱 타겟팅 기능으로 인해 사이버 범죄자들 사이에서 빠르게 인기를 얻었습니다.
웹 브라우저에 저장된 쿠키 및 자격 증명, 암호화폐 지갑 브라우저 확장 프로그램의 데이터, 데스크톱 암호화폐 지갑 데이터, 메시징 및 게임 앱 데이터, 이메일 클라이언트, FTP 또는 VPN 도구가 BlackGuard의 주요 공격 대상입니다. 가장 최신 버전의 멀웨어는 몇 가지 새로운 기능을 추가하여 더욱 심각한 위협이 됩니다.
첫 번째 기능은 클리퍼 모듈로, Windows 클립보드에 복사된 암호화폐 주소를 공격자의 주소로 대체하여 암호화폐 거래를 지갑으로 리디렉션합니다. 클리퍼 모듈에는 비트코인, 이더리움, 모네로, 스텔라, 리플, 라이트코인, 넥타, 비트코인 캐시, 대시 등 다양한 암호화폐에 대한 하드코딩된 주소가 포함되어 있어 다양한 암호화폐와 호환됩니다.
BlackGuard의 두 번째 새로운 기능은 USB 스틱 및 기타 이동식 장치를 통해 확산되어 접촉하는 모든 새로운 장치를 감염시키는 능력입니다. 이 멀웨어의 세 번째 기능은 안티바이러스 소프트웨어의 탐지를 피하기 위해 "프로세스 중공화" 기술을 사용하여 C2 서버에서 추가 페이로드를 다운로드하고 손상된 컴퓨터의 메모리에서 실행할 수 있다는 점입니다.
네 번째 새로운 기능은 "실행" 레지스트리 키 아래에 자신을 등록하여 시스템 재부팅 사이에 지속될 수 있도록 하는 BlackGuard의 기능입니다. 마지막으로, 멀웨어는 파일을 C: 드라이브의 모든 폴더에 복제하여 각 사본에 고유한 이름을 부여합니다.
이 글의 출처는 BleepingComputer의 기사입니다.