Amsterdam, 7 april 2022- Hacking-fora zijn vaak verbonden aan ondergrondse marktplaatsen waar cybercriminelen allerlei soorten kwaadaardige en illegale producten kopen, verhuren en verkopen, waaronder software, trojans, stealers, exploits en gelekte inloggegevens. Tegelijkertijd heeft Malware-as-a-Service bijgedragen aan de groei van het aantal ransomware- en phishing-aanvallen door de technologische barrière te verlagen die nodig is om deze aanvallen uit te voeren voor criminelen.
Tijdens het analyseren van zo’n hackersforum stuitte het
Zscaler ThreatLabz-team op BlackGuard, een geavanceerde infostealer die te koop werd aangeboden. BlackGuard wordt verkocht als Malware-as-a-Service met een totale prijs van 700 dollar of een maandelijkse prijs van 200 dollar.
BlackGuard kan verschillende soorten informatie met betrekking tot crypto-wallets, VPN, Messengers, FTP-inloggegevens, opgeslagen browser inlogs en e-mailclients stelen.
BlackGuard
BlackGuard is een .NET stealer met een crypto-packer. Deze malware is in actieve ontwikkeling en bevat de volgende mogelijkheden:
- Anti-detectie: deze malware checkt en elimineert processen met betrekking tot antivirus en sandboxing.
- String verduistering: deze stealer bevat een hardgecodeerde array van bytes die in runtime worden gedecodeerd naar ASCII-strings gevolgd door base64-decodering. Hierdoor kan het antivirus een op tekenreeksen gebaseerde detectie omzeilen.
- Anti-CIS: BlackGuard controleert het land van het geïnfecteerde apparaat door een verzoek te sturen naar "http://ipwhois.app/xml/" en sluit zichzelf af als het apparaat zich in het Commonwealth of Independent States (CIS) bevindt.
- Anti-Debug: BlackGuard gebruikt user32!BlockInput(), wat iedere muis- en keyboardactiviteit kan blokkeren om debugging te stoppen.
- Stealing-functie: Nadat alle checks zijn doorlopen, verzamelt de stealer-functie informatie van verschillende browsers, software en hardgecodeerde directories.
BlackGuard steelt inloggegevens van Chrome- en Gecko-gebaseerde browsers. Het kan daarbij de geschiedenis stelen, maar ook wachtwoorden, automatisch ingevulde informatie en downloads. Daarnaast ondersteunt BlackGuard het stelen van wallets en andere gevoelige files gerelateerd aan crypto-wallet apps en crypto-wallet extensies die zijn geïnstalleerd in Chrome en Edge met hardgecodeerde extensie-ID's.
Nadat de informatie is verzameld, maakt BlackGuard een .zip van alle bestanden en stuurt deze naar de C2-server via een POST-verzoek samen met de systeeminformatie zoals hardware-ID en land.
Wat kun je hiertegen doen?
Terwijl BlackGuard niet zo breed toegepast kan worden als andere stealers, groeit de dreiging wel naarmate de software zich blijft verbeteren en het een sterke reputatie ontwikkelt in de ondergrondse community.
Om BlackGuard en vergelijkbare infostealer-malware te bestrijden, raadt Zscaler security-teams aan om al het verkeer te scannen en malware preventie-tools te gebruiken die zowel een antivirus (voor bekende dreigingen) en sandbox-mogelijkheden (voor onbekende dreigingen) bieden. Daarnaast raadt het bedrijf aan om medewerkers regelmatig te trainen op het volgende:
- Gebruik nooit dezelfde wachtwoorden voor alle services en pas deze regelmatig aan.
- Gebruik multi-factor authenticatie waar mogelijk.
- Bezoek geen onbekende sites.
- Open geen onbekende files.
Bezoek de website voor een volledige technische analyse van BlackGuard:
https://www.zscaler.com/blogs/security-research/analysis-blackguard-new-info-stealer-malware-being-sold-russian-hacking
Over Zscaler
Zscaler (NASDAQ: ZS) versnelt digitale transformatie en maakt klanten meer agile, efficiënt, veerkrachtig en veilig. De Zscaler Zero Trust Exchange beschermt duizenden klanten van cyberaanvallen en dataverlies door gebruikers, apparaten en applicaties veilig met elkaar te verbinden vanaf elke locatie. Verveeld over meer dan 150 datacenters wereldwijd is de op SSE-gebaseerde Zero Trust Exchange het grootste inline cloud security-platform ter wereld.
Voor meer informatie
Zscaler
Berend Sikkema
E-mail:
bsikkema@zscaler.com
Whizpr
Martine Korthals / Winnie Silvertand
Telefoon: 0317 410 483
E-mail:
zscaler@whizpr.nl