Специалисты компании Zscaler сообщили о том, что на подпольных киберкриминальных форумах стремительно набирает популярность новое вредоносное ПО BlackGuard («черный страж»). Оно относится к категории так называемых инфостилеров, то есть, предназначено для похищения конфиденциальных данных с устройств жертв, и, к сожалению, судя по всему, весьма неплохо справляется с этой задачей.
Главной целью BlackGuard являются криптовалютные кошельки. К его атакам уязвимы кошельки AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus, LitecoinCore, Monero, Jaxx, Zcash, Solar, Zap, AtomicDEX, Binance, Frame, TokenPocket и Wassabi, а также браузерные расширения для кошельков Binance, coin98, Phantom, Mobox, XinPay, Math10, Metamask, BitApp, Guildwallet, iconx, Sollet, Slope Wallet, Starcoin, Swash, Finnie, KEPLR, Crocobit, OXYGEN, Nifty, Liquality, Auvitas wallet, Math wallet, MTV wallet, Rabet wallet, Ronin wallet, Yoroi wallet, ZilPay wallet, Exodus, Terra Station и Jaxx. Помимо этого вредоносное ПО способно похищать файлы cookie, сохраненные пароли, данные автозаполнения форм и историю посещений из множества браузеров, включая Chrome, Opera и Firefox, и данные из мессенджеров Telegram, Signal, Tox, Element, Pidgin, Discord и клиента электронной почты Outlook.
На хакерских форумах киберпреступникам предлагается приобрести вредоносное ПО за 700 долларов или взять его в аренду по цене 200 долларов в месяц. При этом пользователь получает доступ к онлайн-панели управления, где он может просматривать похищенные данные, чтобы в дальнейшем либо самостоятельно использовать их в атаках, либо перепродавать другим хакерам.
BlackGuard применяет различные схемы уклонения от обнаружения защитными решениями. Похищенные данные формируются в zip-архив, который перенаправляется на подконтрольный киберпреступникам командный сервер. Исследователи отмечают, что впервые BlackGuard появился на русскоязычных хакерских форумах в самом начале нынешнего года. Это обстоятельство и тот факт, что вредоносное ПО проверяет IP-адрес жертвы и прекращает активность, обнаружив себя в России или одной из стран бывшего СНГ, позволяют предположить именно российское происхождение зловреда.