Un nouveau malware voleur de mots de passe BlackGuard vendu sur des forums de hackers

Dark hacker

Un nouveau malware voleur d’informations nommé BlackGuard attire l’attention de la communauté cybercriminelle, désormais vendu sur de nombreux marchés et forums darknet pour un prix à vie de 700 $ ou un abonnement de 200 $ par mois.

Le voleur peut extraire des informations sensibles d’un large éventail d’applications, tout emballer dans une archive ZIP et l’envoyer au C2 de l’opération malware-as-a-service (MaaS).

Les acteurs de la menace qui ont acheté l’abonnement peuvent ensuite accéder au panneau Web BlackGuard pour récupérer les journaux de données volés, soit en les exploitant eux-mêmes, soit en les vendant à d’autres.

Le panneau utilisateur de BlackGuard
Le panneau utilisateur de BlackGuard (échelle Z)

BlackGuard a été repéré et analysé par des chercheurs de Échelle Zqui ont remarqué une augmentation soudaine de la popularité du logiciel malveillant, en particulier après l’arrêt brutal de Raccoon Stealer.

EZpublish-france.fr a pu découvrir que BlackGuard est apparu pour la première fois sur des forums russophones en janvier 2022, diffusé en privé à des fins de test.

Un article de forum de février 2022 présentant les journaux générés par BlackGuard
Un article de forum de février 2022 présentant le butin de BlackGuard (KELA)

Capacités de vol étendues

Comme pour tous les voleurs d’informations modernes, il n’y a pas beaucoup d’applications stockant ou gérant des données utilisateur sensibles qui ne sont pas dans le champ de ciblage de BlackGuard, et l’accent est mis sur les actifs de crypto-monnaie.

BlackGuard recherchera la présence des logiciels suivants et tentera de leur voler des données utilisateur :

  • Navigateurs Web : mots de passe, cookies, remplissage automatique et historique de Chrome, Opera, Firefox, MapleStudio, Iridium, 7Star, CentBrowser, Chedot, Vivaldi, Kometa, Elements Browser, Epic Privacy Browser, uCozMedia, Coowon, liebao, QIP Surf, Orbitum, Comodo, Amigo, Torch, Comodo, 360Browser, Maxthon3, K-Melon, Spoutnik, Nichrome, CocCoc, Uran, Chromodo, Edge, BraveSoftware
  • Extensions de navigateur de portefeuille : Binance, coin98, Phantom, Mobox, XinPay, Math10, Metamask, BitApp, Guildwallet, iconx, Sollet, Slope Wallet, Starcoin, Swash, Finnie, KEPLR, Crocobit, OXYGEN, Nifty, Liquality, Auvitas wallet, Math wallet , portefeuille MTV, portefeuille Rabet, portefeuille Ronin, portefeuille Yoroi, portefeuille ZilPay, Exodus, Terra Station, Jaxx
  • Portefeuilles de crypto-monnaie : AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus, LitecoinCore, Monero, Jaxx, Zcash, Solar, Zap, AtomicDEX, Binance, Frame, TokenPocket, Wassabi
  • E-mail : Outlook
  • Messagers : Télégramme, Signal, Tox, Élément, Pidgin, Discord
  • Autre : NordVPN, OpenVPN, ProtonVpn, Totalcommander, Filezilla, WinSCP, Steam

Les informations collectées sont regroupées dans un fichier ZIP, également appelé journaux, et envoyées au serveur C2 via une requête POST, avec un rapport de profilage du système qui définit un ID matériel unique pour la victime et détermine son emplacement.

Voler des informations à partir d'une gamme de navigateurs Web
Voler des informations à partir d’une gamme de navigateurs Web (échelle Z)

Fonctions anti-détection

Les capacités d’évasion de BlackGuard sont encore en cours de développement, mais certains systèmes sont déjà en place pour aider les logiciels malveillants à échapper à la détection et à l’analyse.

Tout d’abord, il contient un crypteur et toutes ses chaînes sont obscurcies en base64, de sorte que de nombreux outils antivirus reposant sur la détection statique le manqueront.

Tous les AV en cours d’exécution sur le système seront détectés par le logiciel malveillant, qui tentera alors de tuer leurs processus et de mettre fin à leur fonctionnement.

Le logiciel malveillant vérifie également l’adresse IP de la victime, et s’il s’exécute sur un système en Russie ou dans tout autre pays de la CEI, il s’arrêtera et se fermera. C’est encore une autre indication de l’origine du malware.

Liste des pays exclus des attaques
Liste des pays exclus des attaques (échelle Z)

Enfin, une fonction anti-débogage bloque le fonctionnement des entrées de la souris et du clavier, ce qui rend encore plus difficile pour les chercheurs d’analyser le malware.

Perspectives

Les voleurs d’informations sont en hausse, avec Redline, MarsStealer, Vidar Stealer et AZORult qui dominent actuellement l’espace.

La sortie de Raccoon Stealer, qui était l’un des plus grands acteurs, a laissé un vide sur le marché de la cybercriminalité, de sorte que d’autres opérateurs MaaS essaieront de profiter de cette évolution.

Daria Romana Pop, analyste des menaces chez KELAa partagé les informations suivantes avec EZpublish-france.fr sur l’état du paysage des voleurs d’informations :

« Compte tenu de l’augmentation de l’utilisation et de l’exploitation des comptes compromis et des données obtenues par les voleurs d’informations en tant que vecteur d’accès initial à une cible, KELA a récemment observé de nouvelles variantes annoncées sur les forums de cybercriminalité, alors que les acteurs de la menace visent à améliorer les capacités des logiciels malveillants pour mieux éviter la détection et faire avancer les processus de collecte et d’exfiltration des données. »

« Le voleur BlackGuard a été lancé au début de 2021. Comme les cybercriminels testent constamment les capacités de ces outils malveillants, ils n’hésitent pas à exiger plus de qualité et d’améliorations. KELA a rencontré plusieurs discussions récentes dans lesquelles les utilisateurs se plaignaient que BlackGuard ne pouvait pas correctement éviter la détection. Comme dans toute entreprise, les opérateurs ont promis de fournir une version mise à jour en un rien de temps. »

L'auteur de BlackGuard promet d'améliorer le système anti-détection
L’auteur de BlackGuard promet d’améliorer le système anti-détection (KELA)

« Dans un scénario différent, KELA a identifié META – un nouveau voleur d’informations très similaire en apparence à RedLine, dont les données collectées sont vendues sur le marché du botnet TwoEasy. Le voleur a été lancé début mars, maintenant vendu pour 125 USD par mois ou 1 000 USD pour une utilisation illimitée, et les opérateurs affirment qu’il s’agit d’une version améliorée de RedLine. »

Le voleur d'informations META promu sur les forums de piratage
Le voleur d’informations META promu sur les forums de piratage (KELA)

Pour vous protéger de tous les logiciels malveillants voleurs d’informations en circulation, évitez de visiter des sites Web louches et de télécharger des fichiers provenant de sources non fiables ou douteuses.

Enfin, utilisez l’authentification à deux facteurs, maintenez votre système d’exploitation et vos applications à jour et utilisez des mots de passe forts et uniques pour tous vos comptes en ligne.