Een voorheen ongedocumenteerde “geavanceerde” informatie-stelende malware genaamd BlackGuard wordt te koop aangeboden op Russische ondergrondse forums voor een maandelijks abonnement van $200.
“BlackGuard heeft de mogelijkheid om alle soorten informatie te stelen met betrekking tot Crypto-wallets, VPN, Messengers, FTP-inloggegevens, opgeslagen browserreferenties en e-mailclients”, Zscaler ThreatLabz-onderzoekers Mitesh Wani en Kaivalya Khursale zei in een rapport dat vorige week werd gepubliceerd.
BlackGuard wordt ook verkocht voor een levenslange prijs van $ 700 en is ontworpen als een op .NET gebaseerde malware die actief in ontwikkeling is, met een aantal anti-analyse-, anti-debugging- en anti-ontduikingsfuncties waarmee het processen kan uitschakelen die verband houden met antivirus-engines en het omzeilen van op tekenreeksen gebaseerde detectie.
Bovendien controleert het het IP-adres van de geïnfecteerde apparaten door een verzoek te sturen naar het domein “https://ipwhois[.]app/xml/,” en verlaat zichzelf als het land een van de Gemenebest van Onafhankelijke Staten (GOS) is.
De uitgebreide functionaliteit van BlackGuard betekent dat het informatie kan verzamelen die is opgeslagen in browsers, zoals wachtwoorden, cookies, gegevens voor automatisch aanvullen, browsegeschiedenis, 17 verschillende koude cryptocurrency-portefeuilles en maar liefst zes berichten-apps, waaronder Telegram, Signal, Tox, Element, Pidgin en Meningsverschil.
Bovendien richt de malware zich op 21 cryptowallet-extensies die zijn geïnstalleerd in Chrome- en Edge-browsers, en drie VPN-apps NordVPN, OpenVPN en ProtonVPN, waarvan de resultaten vervolgens worden gecomprimeerd in een ZIP-archief en geëxfiltreerd naar een externe server.
De bevindingen komen op het moment dat Morphisec details onthulde van een andere infostealer-familie, Mars genaamd, waarvan is waargenomen dat hij frauduleuze Google-advertenties gebruikt voor bekende software zoals OpenOffice om de malware te verspreiden.
“Hoewel de toepassingen van BlackGuard niet zo breed zijn als andere stealers, vormt BlackGuard een groeiende bedreiging omdat het voortdurend wordt verbeterd en een sterke reputatie opbouwt in de ondergrondse gemeenschap”, aldus de onderzoekers.
