È stata individuata una nuova versione aggiornata del noto stealer di informazioni BlackGuard, che introduce funzionalità avanzate di furto di dati e connettività sicura.
La nuova versione del malware include anche una serie di nuove funzionalità anti-rilevamento e anti-analisi.
Indice degli argomenti
Arriva la funzione di clipper in BlackGuard
Programmato in C#, BlackGuard è già noto come un importante malware che ruba informazioni personali dal computer della vittima che lo ospita. Mira ad acquisire dati personali dai browser Web, in particolare alla ricerca di dati relativi ai portafogli di criptovaluta.
È apparso per la prima volta nel 2021, promosso sia sui forum underground che tramite canale Telegram dedicato. Un abbonamento a vita per questo malware costa 700 dollari. A fine novembre 2022 è apparso un aggiornamento che ora è stato finalmente rilevato in utilizzi pratici e tramite gli ultimi attacchi analizzati, AT&T ha potuto dettagliare meglio tutte le nuove caratteristiche che sono state integrate.
Tra le informazioni analizzate, acquista rilevanza le tattiche anti-analisi adottate da BlackGuard. In particolare, la crittografia e l’offuscamento per sfuggire ai controlli sulle stringhe che normalmente effettuano i software anti-malware. La crittografia viene eseguita da uno strumento integrato nel pannello di amministrazione del malware.
Inoltre, il suo codice è offuscato in un modo piuttosto specifico: le stringhe codificate in base64 vengono decodificate solo durante il runtime. Ma anche prima della decodifica, le stringhe sono rappresentate come un array di byte, completamente illeggibile.
Altra importante caratteristica che BlackGuard ha implementato è quella di clipper. Ormai sempre più utilizzata, è la funzionalità che effettua il furto delle informazioni contenute nella clipboard dell’utente (il copia/incolla). Sostituisce gli indirizzi di criptovaluta copiati negli appunti di Windows con l’indirizzo dell’autore della minaccia, sperando di deviare le transazioni di criptovaluta ai propri portafogli.
Il clipper ha la capacità di interpretare indirizzi per Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Nectar, Bitcoin Cash e DASH.
Come detto, lo stealer ha come caratteristica principale quella di rubare quante più informazioni disponibili e, in questo caso, BlackGuard è in grado di raccogliere informazioni, che poi verranno inviate direttamente al server C2 (comando e controllo) dell’operatore dietro la campagna criminale, da un grande numero di browser Web.
A questi dati si aggiungono quelli che riesce a ricavare da ben 30 estensioni per browser, 18 applicazioni desktop inerenti il mondo delle cripto e 57 software wallet diversi per criptovalute.
Importante anche la nuova funzionalità di propagazione che aumenta le possibilità di infezione alla ricerca di nuovi host e quindi nuove vittime. Si tratta di un sistema studiato ad hoc per infettare qualsiasi pendrive venga collegata ad un computer già infettato, di modo che poi possa atterrare su un nuovo PC di destinazione, infettandolo nuovamente.
Il resto delle infezioni, alla base di quasi la totalità delle campagne portate avanti con BlackGuard, avviene mediante e-mail di phishing, contenenti il malware sotto forma di allegato o che con una serie di campagne malevole, invitano l’utente a cliccare pagine Web che effettueranno il download di tale stealer, sotto forma di altro software.
Consigli di mitigazione del rischio
L’unica arma di sensibilizzazione, che si può fornire agli utenti, in difesa da questa campagna malevola, è l’attenzione sempre maggiore a e-mail inattese, benché graficamente recanti marchi noti o apparentemente lecite, con allegati di dubbia provenienza.
I file di MS Office (Word, Excel) sotto forma di false fatture, documenti legali o altri giustificativi, con macro presenti e attivabili. L’attivazione di queste macro è nella maggior parte dei casi, la fonte iniziale di infezione e propagazione del trojan.
