黑客怎样入侵木马病毒(俄语黑客论坛出现新型
时间:2023-01-18 01:53 来源:网络整理 作者:采集插件 点击:次
近年来,恶意软件即服务的出现大幅度降低了犯罪分子发动攻击的技术门槛,极大地促进了勒索软件和网络钓鱼攻击(以及其他类型的攻击)的增长。 最近,研究人员发现了 BlackGuard 在黑客论坛提供恶意软件即服务。其每月售价为 200 美元,终身服务价格为 700 美元。
宣传页面 BlackGuard 能够窃取与加密钱包、VPN、Messenger、FTP 凭据、浏览器凭据和电子邮件等相关信息。 技术分析BlackGuard 是一个 .NET 开发的窃密木马,攻击者也在积极开发新功能。 反检测BlackGuard 在执行后就会检查并终止杀软与沙盒的相关进程:
反检测 混淆BlackGuard 包含一个硬编码的字节数组,在运行时会被解码为字符串再进行 base64 解码,通过这种方式规避安全检测:
混淆 位置检查BlackGuard 向 发送请求检查失陷主机所在国家/地区,如果设备位于独联体国家内,就自动退出。
位置检查 反调试BlackGuard 使用 user-32!BlockInput()拦截鼠标和键盘事件中断调试。
反调试 窃密完成所有检查后,将会进行窃密,从各种浏览器、软件、硬编码目录中收集信息。
窃密代码
功能介绍 浏览器窃密BlackGuard 通过固定路径从基于 Chrome 和 Gecko 的浏览器中窃取历史记录、密码、自动填充、下载文件等信息。
浏览器窃密 加密货币钱包BlackGuard 还支持窃取与加密钱包应用程序相关的敏感信息,包括地址、私钥与其他敏感数据(如 wallet.dat),检查 AppData 中的默认钱包文件位置并将其复制走。
加密货币钱包窃密 加密钱包扩展针对安装在 Chrome 和 Edge 中的具有硬编码扩展 ID 的加密钱包扩展,BlackGuard 也会进行窃密。
加密钱包扩展 C&CBlackGuard 会在收集信息后创建一个包含所有文件的 .zip 文件,并通过 POST 请求将硬件 ID 与其他受害者相关信息一起发送到 C&C 服务器。
C&C 部分代码
C&C 流量 (责任编辑:admin) |
