New BlackGuard password-stealing malware sold on hacker forums

BlackGuard, sebuah malware pencuri informasi baru banyak menarik perhatian komunitas kejahatan di dunia maya, yang sekarang telah terjual di banyak pasar dan forum darknet dengan harga $700 seumur hidup atau dengan berlangganan $200 per bulan.

Si Pencuri dapat mengambil informasi sensitif dari berbagai aplikasi, mengemas semuanya dalam arsip ZIP dan mengirimkannya ke C2 operasi malware-as-a-service (MaaS).

Selanjutnya pelaku ancaman yang telah berlangganan dapat mengakses BlackGuard web panel untuk mengambil log data yang berhasil dicuri, baik mengeksploitasinya sendiri atau dapat menjualnya kepada orang lain.

BlackGuard's user panel(Zscaler)

BlackGuard ditemukan dan dianalisis oleh para peneliti di Zscaler, yang menyadari sebuah lonjakan popularitas malware secara tiba-tiba, terutama setelah Raccoon Stealer dimatikan secara tiba-tiba.

Bleeping Computer dapat menemukan bahwa BlackGuard pertama kali muncul di forum berbahasa Rusia pada bulan Januari 2022, diedarkan secara pribadi untuk tujuan pengujian.

A February 2022 forum post showcasing BlackGuard's loot(KELA)

Extensive stealing abilities
Seperti semua pencuri informasi modern, tidak banyak aplikasi yang menyimpan atau menangani data pengguna sensitif yang tidak berada dalam cakupan penargetan BlackGuard dan fokusnya banyak pada aset mata uang kripto.

BlackGuard akan mencari keberadaan perangkat lunak berikut, dan berusaha mencuri data pengguna dari mereka:

• Web Browser: Password, Cookies, Autofill dan History dari Chrome, Opera, Firefox, MapleStudio, Iridium, 7Star, CentBrowser, Chedot, Vivaldi, Kometa, Elements Browser, Epic Privacy Browser, uCozMedia, Coowon, liebao, QIP Surf, Orbutum, Comodo, Amigo, Torch, 360Browser, Maxhton3, K-Melon, Sputnik, Nichrome, CocCoc, Uran, Chromodo, Edge, BraveSoftware
• Wallet browser extensions: Binance, coin98, Phantom, Mobox, XinPay, Math10, Metamask, BitApp, Guildwallet, iconx, Sollet, Slope Wallet, Starcoin, Swash, Finnie, KEPLR, Crocobit, OXYGEN, Nifty, Liquality, Auvitas wallet, Math wallet, MTV wallet, Rabet wallet, Ronin wallet, Yoroi wallet, ZilPay wallet, Exodus, Terra Station, Jaxx
• Cryptocurrency wallets: AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus, LitecoinCore, Monero, Jaxx, Zcash, Solar, Zap, AtomicDEX, Binance, Frame, TokenPocket, Wassabi
• Email: Outlook
• Messengers: Telegram, Signal, Tox, Element, Pidgin, Discord
• Other: NordVPN, OpenVPN, ProtonVpn, Totalcommander, Filezilla, WinSCP, Steam

Informasi yang dikumpulkan dibundel dalam file ZIP, juga dikenal sebagai log dan dikirim ke server C2 melalui permintaan POST, bersama dengan laporan profil sistem yang menetapkan ID perangkat keras unik untuk korban dan menentukan lokasi mereka.

Stealing information from a range of web browsers(Zscaler)

Anti-detection features
Kemampuan penghindaran BlackGuard masih dalam pengembangan yang berat, tapi beberapa sistem telah tersedia untuk membantu malware lolos dari deteksi dan analisis.

Pertama, BlackGuard's evasion dikemas dengan crypter dan semua stringnya dikaburkan menggunakan base64, sehingga banyak anti-virus yang mengandalkan deteksi statis tidak dapat menemukannya.

Setiap anti-virus yang berjalan di sistem akan dideteksi oleh malware yang kemudian akan mencoba mematikan prosesnya dan menghentikan operasinya.

Malware ini juga memeriksa alamat IP korban dan jika dijalankan pada sistem di Rusia atau negara CIS lainnya, malware akan berhenti dan keluar. Ini adalah indikasi lain dari asal malware.

List of countries excluded from attacks(Zscaler)

Terakhir, fitur anti-debug memblokir pengoperasian input mouse dan keyboard, sehingga semakin mempersulit peneliti untuk menganalisis malware.

OUTLOOK
Info-stealer sedang meningkat, dengan Redline, MarsStealer, Vidar Stealer dan AZORult saat ini mendominasi ruang angkasa.

Keluarnya Raccoon Stealer yang merupakan salah satu pemain terbesar telah meninggalkan celah di pasar kejahatan dunia maya, sehingga operator MaaS lainnya akan mencoba memanfaatkan perkembangan ini.

Daria Romana Pop, seorang analis ancaman di KELA telah berbagi wawasan berikut dengan Bleeping Computer tentang status lengkap pencuri info:

"Mengingat peningkatan penggunaan dan eksploitasi akun dan data yang disusupi yang diperoleh oleh pencuri informasi sebagai vektor untuk akses awal ke target, KELA baru-baru ini mengamati varian baru yang diiklankan di forum kejahatan dunia maya, karena pelaku ancaman bertujuan untuk meningkatkan kemampuan malware menjadi lebih baik. Menghindari deteksi dan untuk memajukan proses pengumpulan dan eksfiltrasi data."

"Pencuri BlackGuard diluncurkan pada awal 2021. Karena penjahat dunia maya terus-menerus menguji kemampuan alat berbahaya semacam itu, mereka tidak menghindar dari menuntut lebih banyak kualitas dan peningkatan. KELA menemukan beberapa diskusi baru-baru ini dimana pengguna mengeluh tentang BlackGuard tidak dapat menghindari deteksi dengan benar. Seperti dalam bisnis apapun, operator berjanji untuk menyediakan versi terbaru dalam waktu singkat."

Author of BlackGuard promising to improve anti-detection scheme(KELA)

"Dalam skenario yang berbeda, KELA mengidentifikasi META - sebuah pencuri informasi baru yang sangat mirip dengna RedLine, dimana data yang telah dikumpulkan dijual di pasar botnet TwoEasy. Pencuri itu diluncurkan pada awal bulan Maret, sekarang dijual seharga USD125 per bulan atau USD1000 untuk penggunaan tak terbatas dan operator mengklaim bahwa ini adalah versi perbaikan dari RedLine."

META info-stealer promoted on hacking forums(KELA)

Untuk melindungi diri Anda dari semua malware pencuri informasi yang beredar, hindari mengunjungi situs web yang teduh dan mengunduh file dari sumber yang tidak dapat dipercaya atau meragukan.

Terakhir, gunakan otentikasi 2 faktor, perbarui OS dan aplikasi Anda dan gunakan kata sandi yang kuat dan unik untuk semua akun online Anda.

Sumber: https://www.bleepingcomputer.com/news/security/new-blackguard-password-stealing-malware-sold-on-hacker-forums/