近年来,恶意软件的出现,即服务,大大降低了犯罪分子攻击的技术门槛,大大促进了勒索软件和网络钓鱼攻击(以及其他类型的攻击)的增长。
最近,研究人员发现 BlackGuard 在黑客论坛上提供恶意软件,即服务。每月售价为 200美元,终身服务为 700美元。
宣传页面
BlackGuard 可以窃取和加密钱包,VPN、Messenger、FTP 相关信息,如凭证、浏览器凭证和电子邮件。
技术分析
BlackGuard 是一个 .NET 攻击者还在积极开发新功能,开发窃密木马。
(1) 反检测
BlackGuard 执行后,将检查并终止与沙箱相关的杀软过程:
反检测
(2) 混淆
BlackGuard 包含一个硬编码字节数组,在操作前解码为字符串base64 解码,避免安全检测:
混淆
(3) 位置检查
BlackGuard 向 http://ipwhois.app/xml如果设备位于独联体国家,国家/地区。如果设备位于独联体国家,将自动退出。
位置检查
(4) 反调试
BlackGuard 使用 user-32!BlockInput()停止鼠标和键盘事件的调试。
反调试
(5) 窃密
所有检查完成后,将从各种浏览器、软件和硬编码目录中窃取和收集信息。
窃密代码
功能介绍
(6) 浏览器盗密
BlackGuard 通过固定路径从基于 Chrome 和 Gecko 在浏览器中窃取历史记录、密码、自动填充、下载文件等信息。
浏览器窃密
(7) 加密货币钱包
BlackGuard 还支持窃取与加密钱包应用程序相关的敏感信息,包括地址、私钥与其他敏感数据(如 wallet.dat),检查 AppData 中默认钱包文件的位置并复制。
加密货币钱包盗密
(8) 扩展加密钱包
安装在 Chrome 和 Edge 有硬编码扩展 ID 扩展加密钱包,BlackGuard 也会偷密。
扩展加密钱包
(9) C&C
BlackGuard 将在收集信息后创建一个包含所有文件的 .zip 文件,并通过 POST 请求使用硬件 ID 向 发送与其他受害者相关的信息C&C 服务器。
C&C 部分代码
C&C 流量
控制面板
目标应用程序
(1) 浏览器
Chrome,Opera,Firefox,MapleStudio,Iridium,7Star,CentBrowser,Chedot,Vivaldi,Kometa,Elements Browser,Epic Privacy Browser,uCozMedia,Coowon,liebao,QIP Surf,Orbitum,Comodo,Amigo,Torch,Comodo,360Browser,Maxthon3,K-Melon,Sputnik,Nichrome,CocCoc,Uran,Chromodo,Edge,BraveSoftware
(2) 加密钱包
AtomicWallet,BitcoinCore,DashCore,Electrum,Ethereum,Exodus,LitecoinCore,Monero,Jaxx,Zcash,Solar,Zap,AtomicDEX,Binance,Frame,TokenPocket,Wassabi
(3) 扩展加密钱包
Binance,coin98,Phantom,Mobox,XinPay,Math10,Metamask,BitApp,Guildwallet,iconx,Sollet,Slope Wallet,Starcoin,Swash,Finnie,KEPLR,Crocobit,OXYGEN,Nifty,Liquality,Auvitas wallet,Math wallet,MTV wallet,Rabet wallet,Ronin wallet,Yoroi wallet,ZilPay wallet,Exodus,Terra Station,Jaxx
(44) 电子邮件客户端
Outlook
(5) 其它应用程序
NordVPN,Open-VPN,ProtonVpn,Totalcomander,Filezilla,WinSCP,Steam
(6) 通讯软件
Telegram,Signal,Tox,Element,Pidgin,Discord
结论
尽管 BlackGuard 的应用不是很广泛,但它仍然是快速增长的威胁。BlackGuard 也在不断改进,在黑客社区建立了良好的声誉。