Hacking-fora zijn vaak verbonden aan ondergrondse marktplaatsen waar cybercriminelen allerlei soorten kwaadaardige en illegale producten kopen, verhuren en verkopen, waaronder software, trojans, stealers, exploits en gelekte inloggegevens. Tegelijkertijd heeft Malware-as-a-Service bijgedragen aan de groei van het aantal ransomware- en phishing-aanvallen door de technologische barrière te verlagen die nodig is om deze aanvallen uit te voeren voor criminelen.
Tijdens het analyseren van zo’n hackersforum stuitte het Zscaler ThreatLabz-team op BlackGuard, een geavanceerde infostealer die te koop werd aangeboden. BlackGuard wordt verkocht als Malware-as-a-Service met een totale prijs van 700 dollar of een maandelijkse prijs van 200 dollar.
BlackGuard kan verschillende soorten informatie met betrekking tot crypto-wallets, VPN, Messengers, FTP-inloggegevens, opgeslagen browser inlogs en e-mailclients stelen.
BlackGuard
BlackGuard is een .NET stealer met een crypto-packer. Deze malware is in actieve ontwikkeling en bevat de volgende mogelijkheden:
- Anti-detectie: deze malware checkt en elimineert processen met betrekking tot antivirus en sandboxing.
- String verduistering: deze stealer bevat een hardgecodeerde array van bytes die in runtime worden gedecodeerd naar ASCII-strings gevolgd door base64-decodering. Hierdoor kan het antivirus een op tekenreeksen gebaseerde detectie omzeilen.
- Anti-CIS: BlackGuard controleert het land van het geïnfecteerde apparaat door een verzoek te sturen naar [http://ipwhois.app/xml/] en sluit zichzelf af als het apparaat zich in het Commonwealth of Independent States (CIS) bevindt.
- Anti-Debug: BlackGuard gebruikt user32!BlockInput(), wat iedere muis- en keyboardactiviteit kan blokkeren om debugging te stoppen.
- Stealing-functie: Nadat alle checks zijn doorlopen, verzamelt de stealer-functie informatie van verschillende browsers, software en hardgecodeerde directories.
BlackGuard steelt inloggegevens van Chrome- en Gecko-gebaseerde browsers. Het kan daarbij de geschiedenis stelen, maar ook wachtwoorden, automatisch ingevulde informatie en downloads. Daarnaast ondersteunt BlackGuard het stelen van wallets en andere gevoelige files gerelateerd aan crypto-wallet apps en crypto-wallet extensies die zijn geïnstalleerd in Chrome en Edge met hardgecodeerde extensie-ID's.
Nadat de informatie is verzameld, maakt BlackGuard een .zip van alle bestanden en stuurt deze naar de C2-server via een POST-verzoek samen met de systeeminformatie zoals hardware-ID en land.
Wat kun je hiertegen doen?
Terwijl BlackGuard niet zo breed toegepast kan worden als andere stealers, groeit de dreiging wel naarmate de software zich blijft verbeteren en het een sterke reputatie ontwikkelt in de ondergrondse community.
Om BlackGuard en vergelijkbare infostealer-malware te bestrijden, raadt Zscaler security-teams aan om al het verkeer te scannen en malware preventie-tools te gebruiken die zowel een antivirus (voor bekende dreigingen) en sandbox-mogelijkheden (voor onbekende dreigingen) bieden. Daarnaast raadt het bedrijf aan om medewerkers regelmatig te trainen op het volgende:
- Gebruik nooit dezelfde wachtwoorden voor alle services en pas deze regelmatig aan.
- Gebruik multi-factor authenticatie waar mogelijk.
- Bezoek geen onbekende sites.
- Open geen onbekende files.
Over Zscaler
Zscaler stelt grote, wereldwijde organisaties in staat om veilig hun netwerken en applicaties te transformeren voor een mobile- en cloud-first wereld. De belangrijkste services, Zscaler Internet Access en Zscaler Private Access, zorgen voor snelle, veilige verbindingen tussen gebruikers en applicaties, ongeacht apparaat, locatie of netwerk. Zscaler-services zijn 100% cloud-gebaseerd en bieden de eenvoud, verhoogde beveiliging en verbeterde gebruikerservaring die traditionele appliances of hybride oplossingen niet kunnen evenaren. Zscaler wordt gebruikt in zeer veel landen en heeft een multi-tenant, gedistribueerd cloudbeveiligingsplatform dat duizenden klanten beschermt tegen cyberaanvallen en dataverlies.
Meer over Zscaler