Introdução:
Os fóruns de hackers geralmente funcionam como mercados clandestinos onde os cibercriminosos compram, alugam e vendem todos os tipos de produtos ilegais maliciosos, incluindo software, trojans, ladrões, exploits e credenciais vazadas. O malware como serviço contribuiu substancialmente para o crescimento de ataques de ransomware e phishing (entre outros tipos de ataque) no ano passado, pois reduzem a barreira técnica de entrada para criminosos realizarem ataques.
Enquanto recentemente examinava um desses fóruns de hackers durante atividades regulares de pesquisa, a equipe do Zscaler ThreatLabz encontrou o BlackGuard, um ladrão sofisticado, anunciado para venda. Atualmente, o Blackguard está sendo vendido como malware como serviço com um preço vitalício de US$ 700 e um preço mensal de US$ 200.
O BlackGuard tem a capacidade de roubar todos os tipos de informações relacionadas a carteiras Crypto, VPN, Messengers, credenciais de FTP, credenciais de navegador salvas e clientes de e-mail.
Houve um aumento acentuado de Threat Actors (TAs) usando Info Stealers para realizar seus ataques, e o Cyble Research Labs tem rastreado ativamente essas ameaças. Os ladrões de informações são uma séria ameaça à segurança. O grupo de extorsão de dados LAPSUS$, que estava por trás de uma das violações de dados mais significativas da história recente, também é suspeito de usar Info Stealers para obter acesso inicial à rede da organização.
Recentemente, o Cyble Research Labs descobriu uma amostra pertencente a “Blackguard Stealer. “Esse ladrão surgiu nos fóruns de crimes cibernéticos em abril de 2021. Encontramos várias variantes desse ladrão em estado selvagem, o que destaca que ele pode estar em uso por um grande número de TAs.
Neste blog, compartilhamos análises e capturas de tela das técnicas que esse ladrão usa para roubar informações e evitar a detecção usando ofuscação, bem como técnicas usadas para antidepuração.
Análise técnica:
BlackGuard é um ladrão .NET embalado com um empacotador de criptografia. Atualmente, está em desenvolvimento ativo e possui os seguintes recursos:
O ladrão é escrito em C# e é ofuscado usando a ferramenta Obfuscar, que é uma ferramenta de ofuscação .NET de código aberto. A amostra recente do ladrão usou a função sleep() várias vezes para evitar a detecção de sandbox. Ele usa técnicas antidepuração, que impedem qualquer pessoa de depurar a amostra. Ele também usa uma técnica de marcação de tempo anti-forense que altera o registro de data e hora do arquivo real para evitar ser identificado durante as atividades forenses.
Esse ladrão opera no modelo Malware-as-a-Service (MaaS), no qual os TAs alugam seu software para realizar atividades maliciosas. O ladrão Blackguard também está disponível em um modelo de assinatura mensal e vitalício. O TA afirmou em fóruns de crimes cibernéticos que eles podem adicionar a funcionalidade de malware clipper (um tipo de malware que modifica os endereços criptográficos na área de transferência para o especificado pelo TA) ao ladrão Blackguard sob demanda. Isso indica que o ladrão pode ser personalizado para roubo financeiro.
O TA afirmou que o ladrão tem funcionalidades para exfiltrar os dados mostrados na figura abaixo.
A amostra ( SHA 256: 67843d45ba538eca29c63c3259d697f7e2ba84a3da941295b9207cdb01c85b71 ) na execução verifica inicialmente a presença de um depurador e encerra sua execução se um depurador for identificado. A figura abaixo mostra a função anti-debug no malware.
O malware usa a função Sleep() várias vezes como uma técnica anti-sandbox durante sua execução. O método Thread.Sleep() faz com que o thread atual pare a execução pelo tempo especificado em milissegundos. A figura abaixo mostra a função Sleep() usada durante a execução inicial.
Após realizar as verificações Anti-debug, ele chama o método Start(), que chamará outros métodos, conforme visto na Figura 7. Esses métodos iniciarão a atividade de roubo de dados do sistema da vítima. O malware cria um diretório em “c:\users\[username]\Documents” para armazenar os dados roubados das máquinas da vítima.
O nome do diretório é gerado usando o formato: Random String + Computer Name + . + Nome de usuário
O TA codificou algumas strings usando compactação base64 e gzip, portanto, toda vez que uma string codificada é passada como parâmetro, a função decrypt.Get() é chamada para obter as strings decodificadas. A Figura 8 mostra a função Decrypt.get().
Este ladrão visa principalmente navegadores como Chrome, Edge e Firefox. O malware lê os arquivos key3.db, key4.db, logins.json e cert9.db para roubar dados do navegador, como senhas, cartões de crédito, histórico e dados preenchidos automaticamente. O malware cria uma pasta chamada “Browsers”, onde salvará os dados em arquivos .txt separados.
Usando o método GetDomainDetect(), o malware enumera todos os arquivos .txt na pasta “Browser” criada na etapa anterior, lê-os e verifica se os seguintes domínios estão presentes, incluindo exchanges de criptomoedas populares e os principais sites de bancos. Se o malware encontrar esses domínios direcionados, ele armazenará todas as credenciais relacionadas a eles.
O malware copia os dados da vítima do diretório USERPROFILE e os salva em uma pasta chamada “Arquivos”. O diretório USERPROFILE contém dados específicos de vários usuários em um sistema.
Este ladrão tem a capacidade de roubar dados de carteiras de criptomoedas frias. Uma carteira fria armazena os dados offline e, portanto, é mais segura. As carteiras visadas pelo ladrão podem ser vistas na Figura 12.
Depois disso, o malware identifica a geolocalização do usuário enviando uma solicitação para hxxps[:]//freegeoip[.]app/xml/. O malware recebe a resposta e a salva em um arquivo chamado “Information.txt”.
Além disso, ele salva as informações do sistema.
Em seguida, ele tira a captura de tela do sistema da vítima e a salva como “Screen.png” no diretório inicialmente criado pelo malware.
O malware rouba credenciais de VPNs como ProtonVPN, OpenVPN e NordVPN. O malware primeiro verifica se uma VPN está instalada ou não, verificando o diretório “ C:\Users\[username]\AppData\Local\[VPN name].“
Se encontrar um serviço VPN direcionado, ele rouba as credenciais dos arquivos de configuração, como user.config , etc., e copia o arquivo de configuração para a pasta usada para salvar os dados roubados.
O malware rouba dados do Steam, um serviço de distribuição digital de videogames. O ladrão identifica o caminho de instalação do Steam verificando o valor da chave de registro em “ HKEY_LOCAL_MACHINE\Software\Valve\Steam.”
Se o Steam estiver instalado na máquina, o malware rouba os dados do Steam do arquivo de configuração loginusers.vdf presente na máquina da vítima. O malware cria uma pasta chamada “Steam” e copia o arquivo .vdf nela para fins de exfiltração.
Depois disso, o malware verifica os tokens do Discord. Primeiro, ele procura os seguintes diretórios:
- Discord\\Local Storage\\leveldb
- discordptb\\Local Storage\\leveldb
- Discord Canário\\leveldb
Se conseguir localizar esses diretórios, ele verifica se há arquivos que terminam com .ldb ou .log e extrai os tokens Discord deles usando expressão regular. Em seguida, ele cria uma pasta chamada “Discord” e gravará os tokens roubados em “Tokens.txt”.
O ladrão de Blackguard também pode roubar dados do FileZilla. Ele verifica se o arquivo FileZilla\recentservers.xml está presente na pasta ApplicationData e então extrai Host, Porta, Usuário e Senha do “ recentserver.xml .” Esses dados são então gravados em “ FileZilla\FileZilla.log “.
Depois disso, o malware verifica o arquivo “Telegram Desktop\tdata” na pasta ApplicationData. Se estiver presente no sistema da vítima, ele cria uma pasta chamada “Telegram” que será usada para salvar arquivos roubados do local “Telegram Desktop\tdata ”.
O TA nesta amostra está usando o Telegram para exfiltrar os dados. Encontramos a seguinte API do Telegram usada pelo malware durante nossa análise para exfiltração de dados.
URL: hxxps[:]//api.telegram.org/bot/sendDocument?chat_id=
O malware compacta os dados roubados antes da exfiltração. A Figura 20 mostra as pastas criadas pelo malware.
Anti-detecção:
Uma vez executado, ele verifica e mata os processos relacionados ao antivírus e sandbox conforme mostrado na figura abaixo.
Ofuscação de String:
O ladrão contém uma matriz de bytes codificados que são decodificados em tempo de execução para strings ASCII seguidos pela decodificação base64. Isso permite que ele ignore antivírus e detecção baseada em string.
Anti-CIS:
O BlackGuard verifica o país do dispositivo infectado enviando uma solicitação para “http://ipwhois.app/xml/” e sai sozinho se o dispositivo estiver localizado na Comunidade de Estados Independentes (CIS).
Anti-Depuração:
O BlackGuard usa user32!BlockInput() que pode bloquear todos os eventos de mouse e teclado para interromper as tentativas de depuração.
Função de roubo:
Depois que todas as verificações são concluídas, a função de ladrão é chamada, que coleta informações de vários navegadores, softwares e diretórios codificados, conforme mostrado na captura de tela abaixo.
Navegadores:
O BlackGuard rouba credenciais de navegadores baseados em Chrome e Gecko usando o caminho estático. Ele tem a capacidade de roubar histórico, senhas, informações de preenchimento automático e downloads.
Carteiras de criptomoedas:
O BlackGuard também suporta o roubo de carteiras e outros arquivos confidenciais relacionados a aplicativos de carteira criptográfica. Ele visa dados confidenciais em arquivos como wallet.dat que contêm o endereço, a chave privada para acessar esse endereço e outros dados. O ladrão verifica o local do arquivo de carteira padrão no AppData e o copia para a pasta de trabalho.
Extensões de criptografia:
Esse ladrão também tem como alvo extensões de carteira de criptografia instaladas no Chrome e Edge com IDs de extensão codificados, conforme mostrado na figura abaixo.
C2 Exfiltração:
Após coletar as informações, o BlackGuard cria um .zip de todos os arquivos e o envia para o servidor C2 por meio de uma solicitação POST junto com as informações do sistema, como ID de hardware e país, conforme mostrado na figura abaixo.
Aplicativos direcionados:
Navegadores:
Chrome, Opera, Firefox, MapleStudio, Iridium, 7Star, CentBrowser, Chedot, Vivaldi, Kometa, Elements Browser, Epic Privacy Browser, uCozMedia, Coowon, liebao, QIP Surf, Orbitum, Comodo, Amigo, Torch, Comodo, 360Browser, Maxthon3, K-Melon, Sputnik, Nichrome, CocCoc, Uran, Chromodo, Edge, BraveSoftware.
Carteiras de criptografia:
AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus, LitecoinCore, Monero, Jaxx, Zcash, Solar, Zap, AtomicDEX, Binance, Frame, TokenPocket, Wassabi.
Extensões de carteira de criptografia:
Binance, coin98, Phantom, Mobox, XinPay, Math10, Metamask, BitApp, Guildwallet, iconx, Sollet, Slope Wallet, Starcoin, Swash, Finnie, KEPLR, Crocobit, OXYGEN, Nifty, Liquality, Auvitas wallet, Math wallet, MTV wallet, Carteira Rabet, carteira Ronin, carteira Yoroi, carteira ZilPay, Exodus, Terra Station, Jaxx.
Clientes de e-mail:
Panorama
Outras aplicações:
NordVPN, OpenVPN, ProtonVpn, Totalcomander, Filezilla, WinSCP, Steam
Mensageiros:
Telegrama, Sinal, Tox, Elemento, Pidgin, Discórdia
Conclusão:
Observamos e analisamos várias amostras deste ladrão de informações na natureza. Parece que este TA em particular está tentando tornar o ladrão ainda mais evasivo a cada atualização, já que os níveis de anti-análise e ofuscação são bem diferentes entre as amostras mais antigas e mais recentes. Os ladrões de informações estão surgindo como uma grande preocupação, pois estão ajudando os TAs a obter acesso inicial às redes corporativas. Assim, é cada vez mais necessário seguir práticas básicas de higiene cibernética e segurança, conforme listado abaixo.
Embora as aplicações do BlackGuard não sejam tão amplas quanto outros ladrões, o BlackGuard é uma ameaça crescente, pois continua a ser aprimorado e está desenvolvendo uma forte reputação na comunidade underground.
Para combater o BlackGuard e malware de roubo de credenciais semelhante, recomendamos que as equipes de segurança inspecionem todo o tráfego e usem ferramentas de prevenção de malware que incluem recursos de antivírus (para ameaças conhecidas) e sandboxing (para ameaças desconhecidas). Também recomendamos treinar os usuários finais sobre o seguinte:
- Não use as mesmas senhas para todos os serviços e substitua-as em uma cadência regular.
- Use a autenticação multifator quando aplicável.
- Evite visitar sites desconhecidos.
- Evite abrir arquivos desconhecidos suspeitos.
Nossas Recomendações:
- Evite baixar software pirata de sites warez/torrent. A “Ferramenta Hack” presente em sites como YouTube, sites de torrent, etc., contém principalmente esse tipo de malware.
- Use senhas fortes e imponha a autenticação multifator sempre que possível.
- Ative o recurso de atualização automática de software em seu computador, celular e outros dispositivos conectados.
- Use um pacote de software antivírus e de segurança de Internet de renome em seus dispositivos conectados, incluindo PC, laptop e celular.
- Evite abrir links não confiáveis e anexos de e-mail sem primeiro verificar sua autenticidade.
- Eduque os funcionários para se protegerem de ameaças como phishing/URLs não confiáveis.
- Bloqueie URLs que possam ser usados para espalhar o malware, por exemplo, Torrent/Warez.
- Monitore o beacon no nível da rede para bloquear a exfiltração de dados por malware ou TAs.
- Habilite a solução Data Loss Prevention (DLP) nos sistemas dos funcionários.
Técnicas MITRE ATT&CK®
| Tática | ID da técnica | Nome da técnica |
| Execução | T1204 | Execução do usuário |
| Evasão de Defesa | T1497.001 T1027 |
Evasão de virtualização/sandbox: o sistema verifica arquivos ou informações ofuscadas |
| Acesso de credencial | T1555 T1539 T1552 T1528 |
Credenciais de armazenamentos de senhas Roubam o cookie de sessão da Web Credenciais não seguras Roubam o token de acesso do aplicativo |
| Coleção | T1113 | Captura de tela |
| Descoberta | T1087 T1518 T1057 T1124 T1007 T1614 |
Descoberta de conta Software Descoberta de processo Sistema de descoberta de tempo Sistema de descoberta de serviço Sistema de descoberta de serviço Descoberta de local |
| Comando e controle | T1095 | Protocolo de camada de não aplicação |
| Exfiltração | T1041 | Exfiltração sobre o canal C2 |
Indicadores De Compromisso (IoCs):
| Indicadores | Tipo de indicador | Descrição |
| ef8385f6ccc6dc6aa6fa9833e13c1cf3 2fe6c0b8cef78d409d29fbd0d1260f39874b068e 5b8d0e358948f885ad1e6fa854f637c1e30036bc217f2c7f2579a8782d472cda8782d472cda | Md5 SHA-1 SHA-256 | Carga útil do ladrão |
| d4e02002916f18576204a3f1722a958b 33ec434ad2c31de93e758b9d53fcf211c5b13702 9fff9895c476bee0cba9d3e209e841873f1756d18c40afa1b364bd2d844699c | Md5 SHA-1 SHA-256 | Carga útil do ladrão |
| eb6c563af372d1af92ac2b60438d076d 9895725811ae5fda88629781daaa439c95a4976e 67843d45ba538eca29c63c3259d697f7e2ba84a3da941295b9207cdb01c85b71 | Md5 SHA-1 SHA-256 | Carga útil do ladrão |
| a6651dc499e0b9141a6fa0f411f885ea a421e5753596d4c07ee8df06c2080c03507f7a37 5ce632f1f10c96a7524bf384015c25681ef4771f09a6b86883a4da309d85452a6b86883a4da309d | Md5 SHA-1 SHA-256 | Carga útil do ladrão |
Mais IOCs:
Hashes:
4d66b5a09f4e500e7df0794552829c925a5728ad0acd9e68ec020e138abe80ac
c98e24c174130bba4836e08d24170866aa7128d62d3e2b25f3bc8562fdc74a66
7f2542ed2768a8bd5f6054eaf3c5f75cb4f77c0c8e887e58b613cb43d9dd9c13
f2d25cb96d3411e4696f8f5401cb8f1af0d83bf3c6b69f511f1a694b1a86b74d
bbc8ac47d3051fbab328d4a8a4c1c8819707ac045ab6ac94b1997dac59be2ece
f47db48129530cf19f3c42f0c9f38ce1915f403469483661999dc2b19e12650b
ead17dee70549740a4e649a647516c140d303f507e0c42ac4b6856e6a4ff9e14
1ee88a8f680ffd175943e465bf85e003e1ae7d90a0b677b785c7be8ded481392
71edf6e4460d3eaf5f385610004cfd68d1a08b753d3991c6a64ca61beb4c673a
e08d69b8256bcea27032d1faf574f47d5412b6da6565dbe52c968cecea1cd5d
Domínios:
win.mirtonewbacker.com
umpulumpu.ru
greenblguard.shop
onetwostep.at
Cobertura do Zscaler:
Garantimos a cobertura das cargas úteis observadas nesses ataques por meio de assinaturas de ameaças avançadas, bem como de nosso sandbox de nuvem avançado.
Proteção avançada contra ameaças:
Win32.PWS.Blackguard
Sandbox de nuvem avançado:
Sobre o ThreatLabz
ThreatLabz é o braço de pesquisa de segurança da Zscaler. Essa equipe de classe mundial é responsável por caçar novas ameaças e garantir que as milhares de organizações que usam a plataforma global Zscaler estejam sempre protegidas. Além da pesquisa de malware e análise comportamental, os membros da equipe estão envolvidos na pesquisa e desenvolvimento de novos módulos de protótipo para proteção avançada contra ameaças na plataforma Zscaler e realizam regularmente auditorias internas de segurança para garantir que os produtos e a infraestrutura Zscaler atendam aos padrões de conformidade de segurança. O ThreatLabz publica regularmente análises detalhadas de ameaças novas e emergentes em seu portal, research.zscaler.com.
Sobre o Cyble
Cyble é um provedor global de SaaS de inteligência de ameaças que ajuda as empresas a se protegerem contra crimes cibernéticos e exposição na Darkweb. Seu foco principal é fornecer às organizações visibilidade em tempo real de sua pegada de risco digital.
Apoiada pela Y Combinator como parte da coorte de inverno de 2021, a Cyble também foi reconhecida pela Forbes como uma das 20 melhores startups de segurança cibernética para assistir em 2020.
Com sede em Alpharetta, Geórgia, e escritórios na Austrália, Cingapura, Dubai e Índia, a Cyble tem presença global. Para saber mais sobre Cyble, visite www.cyble.com.
Fonte: ThreatLabz e Cyble
