Zscaler ThreatLabz waarschuwt voor de opkomst van nieuwe infostealer-malware BlackGuard

Tijdens het analyseren van een hackersforum stuitte het Zscaler ThreatLabz-team op BlackGuard

| Zscaler | 2 min | 7 april 2022 10:20
Afbeelding: Forumthread die de BlackGuard-stealer promoot | Copyright: Zscaler
Hacking-fora zijn vaak verbonden aan ondergrondse marktplaatsen waar cybercriminelen allerlei soorten kwaadaardige en illegale producten kopen, verhuren en verkopen, waaronder software, trojans, stealers, exploits en gelekte inloggegevens. Tegelijkertijd heeft Malware-as-a-Service bijgedragen aan de groei van het aantal ransomware- en phishing-aanvallen door de technologische barrière te verlagen die nodig is om deze aanvallen uit te voeren voor criminelen.

Tijdens het analyseren van zo’n hackersforum stuitte het Zscaler ThreatLabz-team op BlackGuard, een geavanceerde infostealer die te koop werd aangeboden. BlackGuard wordt verkocht als Malware-as-a-Service met een totale prijs van 700 dollar of een maandelijkse prijs van 200 dollar.

BlackGuard kan verschillende soorten informatie met betrekking tot crypto-wallets, VPN, Messengers, FTP-inloggegevens, opgeslagen browser inlogs en e-mailclients stelen.

BlackGuard

BlackGuard is een .NET stealer met een crypto-packer. Deze malware is in actieve ontwikkeling en bevat de volgende mogelijkheden:
  • Anti-detectie: deze malware checkt en elimineert processen met betrekking tot antivirus en sandboxing.
  • String verduistering: deze stealer bevat een hardgecodeerde array van bytes die in runtime worden gedecodeerd naar ASCII-strings gevolgd door base64-decodering. Hierdoor kan het antivirus een op tekenreeksen gebaseerde detectie omzeilen.
  • Anti-CIS: BlackGuard controleert het land van het geïnfecteerde apparaat door een verzoek te sturen naar [http://ipwhois.app/xml/] en sluit zichzelf af als het apparaat zich in het Commonwealth of Independent States (CIS) bevindt.
  • Anti-Debug: BlackGuard gebruikt user32!BlockInput(), wat iedere muis- en keyboardactiviteit kan blokkeren om debugging te stoppen.
  • Stealing-functie: Nadat alle checks zijn doorlopen, verzamelt de stealer-functie informatie van verschillende browsers, software en hardgecodeerde directories.
BlackGuard steelt inloggegevens van Chrome- en Gecko-gebaseerde browsers. Het kan daarbij de geschiedenis stelen, maar ook wachtwoorden, automatisch ingevulde informatie en downloads. Daarnaast ondersteunt BlackGuard het stelen van wallets en andere gevoelige files gerelateerd aan crypto-wallet apps en crypto-wallet extensies die zijn geïnstalleerd in Chrome en Edge met hardgecodeerde extensie-ID's.

Nadat de informatie is verzameld, maakt BlackGuard een .zip van alle bestanden en stuurt deze naar de C2-server via een POST-verzoek samen met de systeeminformatie zoals hardware-ID en land.

Wat kun je hiertegen doen?

Terwijl BlackGuard niet zo breed toegepast kan worden als andere stealers, groeit de dreiging wel naarmate de software zich blijft verbeteren en het een sterke reputatie ontwikkelt in de ondergrondse community.
Om BlackGuard en vergelijkbare infostealer-malware te bestrijden, raadt Zscaler security-teams aan om al het verkeer te scannen en malware preventie-tools te gebruiken die zowel een antivirus (voor bekende dreigingen) en sandbox-mogelijkheden (voor onbekende dreigingen) bieden. Daarnaast raadt het bedrijf aan om medewerkers regelmatig te trainen op het volgende:
  1. Gebruik nooit dezelfde wachtwoorden voor alle services en pas deze regelmatig aan.
  2. Gebruik multi-factor authenticatie waar mogelijk.
  3. Bezoek geen onbekende sites.
  4. Open geen onbekende files.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over Zscaler
Zscaler stelt grote, wereldwijde organisaties in staat om veilig hun netwerken en applicaties te transformeren voor een mobile- en cloud-first wereld. De belangrijkste services, Zscaler Internet Access en Zscaler Private Access, zorgen voor snelle, veilige verbindingen tussen gebruikers en applicaties, ongeacht apparaat, locatie of netwerk. Zscaler-services zijn 100% cloud-gebaseerd en bieden de eenvoud, verhoogde beveiliging en verbeterde gebruikerservaring die traditionele appliances of hybride oplossingen niet kunnen evenaren. Zscaler wordt gebruikt in zeer veel landen en heeft een multi-tenant, gedistribueerd cloudbeveiligingsplatform dat duizenden klanten beschermt tegen cyberaanvallen en dataverlies.
Meer over Zscaler
Disclaimer
Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.
20191029200614.jpg
Drive value with data
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030103431.png
Conference by app developers, for app developers!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030101402.jpg
De grootste Nederlandse site over Android
© 2019-2022, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.