Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Diebe BoryptGrab Stealer

BoryptGrab Stealer

Von Mezo in Diebe, Erweiterte, anhaltende Bedrohung (APT)
Übersetzen Sie in:

BoryptGrab ist eine hochentwickelte Schadsoftware, die sensible Daten von kompromittierten Systemen stiehlt. Die Bedrohung verbreitet sich hauptsächlich über gefälschte GitHub-Repositories und irreführende Downloadseiten, die kostenlose Software bewerben. Diese schädlichen Seiten sind so gestaltet, dass sie legitim erscheinen und somit die Wahrscheinlichkeit erhöhen, dass ahnungslose Nutzer die infizierten Dateien herunterladen und ausführen.

In bestimmten Angriffsketten schleust BoryptGrab zusätzlich die Schadkomponente TunnesshClient ein, eine Hintertür, die Fernzugriff und weitere Ausnutzung des infizierten Geräts ermöglicht. Sobald BoryptGrab oder eine ähnliche Bedrohung auf einem System entdeckt wird, muss sie umgehend entfernt werden, um weiteren Datendiebstahl oder eine Kompromittierung des Systems zu verhindern.

Ausweichtechniken und Privilegienausweitung

Bevor BoryptGrab seine eigentliche Schadsoftware ausführt, führt es mehrere Prüfungen durch, um Sicherheitsforscher und automatisierte Analyseumgebungen zu umgehen. Die Schadsoftware untersucht Systemdateien und Konfigurationseinstellungen, um festzustellen, ob sie in einer virtuellen Maschine ausgeführt wird. Solche Umgebungen werden häufig von Sicherheitsanalysten verwendet; die Erkennung dieser Umgebungen ermöglicht es der Schadsoftware, ihr Verhalten zu ändern oder die Ausführung zu stoppen.

Zusätzlich zur Erkennung virtueller Maschinen scannt die Malware aktive Prozesse, um bekannte Analyse- oder Debugging-Tools zu identifizieren. Werden diese Tools erkannt, kann die schädliche Aktivität unterdrückt werden, um eine Entdeckung zu verhindern. Ein weiterer wichtiger Schritt im Infektionsprozess besteht darin, Administratorrechte zu erlangen, wodurch die Malware auf geschützte Systembereiche zugreifen und eine größere Menge sensibler Informationen extrahieren kann.

Browser-Datenerfassungsfunktionen

Ein Hauptziel von BoryptGrab ist das Sammeln sensibler Daten, die in Webbrowsern gespeichert sind. Die Schadsoftware zielt auf zahlreiche weit verbreitete Browser ab, darunter Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi und Yandex Browser.

Die aus diesen Browsern extrahierten Informationen umfassen typischerweise Anmeldedaten, Autofill-Daten, Browserverlauf und andere gespeicherte persönliche Daten. Um diesen Prozess zu unterstützen, lädt BoryptGrab ein spezielles, auf Chromium basierendes Tool herunter, das die effiziente Extraktion von Browserdaten ermöglicht. Dadurch erhöht sich die Menge der Informationen, die von einem kompromittierten System gestohlen werden können, erheblich.

Kryptowährungs-Wallets unter Beschuss

Kryptowährungen stellen ein weiteres Hauptziel von BoryptGrab dar. Die Schadsoftware sucht nach lokal gespeicherten Daten von Desktop-Wallets und Browsererweiterungen zur Verwaltung digitaler Vermögenswerte. Durch das Extrahieren dieser Wallet-Daten können Angreifer Zugriff auf gespeicherte Gelder erlangen oder diese transferieren.

Die Schadsoftware zielt gezielt auf eine breite Palette von Wallet-Anwendungen und zugehörigen Diensten ab, darunter:

  • Armory Wallet
  • Atomar
  • AtomicDEX
  • Binance
  • Bitcoin Core
  • BitPay
  • Blockstream Green
  • Chia Wallet
  • Coinomi
  • Zuzahlung
  • Daedalus Mainnet
  • Dash Core
  • Dogecoin
  • Elektronisches Bargeld
  • Elektrum
  • ElectrumLTC
  • Ethereum
  • Exodus
  • GreenAddress
  • Guarda
  • Jaxx Desktop
  • Komodo Wallet
  • Ledger Live
  • Ledger Wallet
  • Litecoin Core
  • MEW Desktop
  • MultiDoge
  • MyEtherWallet
  • NOW Wallet
  • Raven Core
  • StakeCube
  • Trezor Suite
  • Wasabi-Geldbörse

Das Vorhandensein einer so umfangreichen Liste unterstreicht den starken Fokus der Schadsoftware auf Finanzdiebstahl.

Erweiterte Datenerfassung und Datenexfiltration

Neben Browsern und Kryptowährungs-Wallets sammelt BoryptGrab weitere Daten vom infizierten System. Die Schadsoftware durchsucht gängige Verzeichnisse nach Dateien mit bestimmten Dateiendungen, die wertvolle Informationen enthalten könnten. Auch Messenger-Anwendungen und andere Kommunikationsplattformen werden angegriffen.

Die gesammelten Daten können Telegram-Dateien, gespeicherte Browserpasswörter und – in neueren Varianten der Malware – Discord-Authentifizierungstoken umfassen. Nach Abschluss der Datenerfassung erstellt BoryptGrab einen Screenshot des Desktops des Opfers und sammelt allgemeine Systeminformationen über den kompromittierten Rechner. Alle erfassten Daten werden anschließend komprimiert und an einen von den Angreifern kontrollierten Server übertragen.

TunnesshClient-Hintertür: Fernsteuerung und Datentunnelung

Einige Versionen von BoryptGrab setzen ein zusätzliches Schadprogramm namens TunnesshClient ein, allerdings ist diese Funktion nicht in allen Varianten vorhanden. TunnesshClient ist eine Python-basierte Hintertür, die Angreifern die Möglichkeit bietet, Befehle aus der Ferne auszuführen.

Über diese Hintertür können Cyberkriminelle Befehle direkt an das infizierte System senden. Das Tool ermöglicht zudem die Weiterleitung von Netzwerkverkehr über eine Reverse-SSH-Verbindung, wodurch Angreifer Internetaktivitäten über das kompromittierte Gerät leiten können. Diese Funktionalität kann genutzt werden, um schädliche Aktionen zu verschleiern, weitere Angriffe durchzuführen oder sich dauerhaft im Netzwerk des Opfers einzunisten.

Folgen einer BoryptGrab-Infektion

Ein erfolgreicher Angriff auf BoryptGrab kann schwerwiegende Folgen für die Opfer haben. Die gestohlenen Informationen umfassen häufig Zugangsdaten, persönliche Daten und Details zu Kryptowährungs-Wallets, die von Cyberkriminellen sofort missbraucht werden können.

Zu den häufigsten Auswirkungen eines solchen Angriffs gehören:

  • Finanzielle Verluste durch gestohlene Kryptowährung oder kompromittierte Finanzkonten
  • Identitätsdiebstahl aufgrund durchgesickerter persönlicher Daten oder Authentifizierungsdaten
  • Gekaperte Online-Konten wie E-Mail-, Social-Media- oder Messaging-Plattformen
  • Sekundärinfektionen werden durch zusätzliche Malware-Komponenten übertragen.

Angesichts dieser Risiken ist die sofortige Entfernung der Schadsoftware von infizierten Geräten unerlässlich, um weiteren Schaden zu begrenzen.

Infektionsvektor: Bösartige GitHub-Seiten und gefälschte Software-Downloads

Die Verbreitungsstrategie von BoryptGrab basiert maßgeblich auf Social Engineering und der Manipulation vertrauenswürdiger Entwicklungsplattformen. Cyberkriminelle erstellen öffentliche GitHub-Repositories, die den Anschein erwecken, legitime Softwareprojekte zu beherbergen. Diese Repositories enthalten häufig Dokumentationen, Dateien und Beschreibungen, die authentische Tools imitieren sollen.

Um ihre Sichtbarkeit zu maximieren, nutzen Angreifer SEO-Techniken, um ihre schädlichen Repositories und GitHub-Seiten in den Suchergebnissen weiter oben zu platzieren. Nutzer, die nach Software-Tools, gecrackten Programmen oder Spiele-Tools suchen, stoßen daher möglicherweise auf diese schädlichen Seiten weit oben in den Suchergebnissen.

Sobald ein Repository geöffnet wird, werden Nutzer in der Regel auf eine professionell gestaltete Webseite weitergeleitet, die einer offiziellen Software-Downloadseite nachempfunden ist. Diese Seiten werben häufig für Gaming-Cheats, gecrackte Programme, FPS-Booster oder Hilfsprogramme, die angeblich Anwendungen wie Filmora oder Voicemod modifizieren oder herunterladen.

Die Website bietet letztendlich ein ZIP-Archiv an, das vorgibt, das Software-Installationsprogramm zu enthalten. Sobald das Archiv heruntergeladen und die enthaltenen Dateien ausgeführt werden, wird die Schadsoftware aktiviert und der Infektionsprozess mit BoryptGrab beginnt.

Im Trend

Am häufigsten gesehen

Wird geladen...