Die Sicherheitsforscher des ThreatLabZ von Zscaler, warnen vor dem neuen Infostealer BlackGuard. Der neue Stealer zielt auf Anmeldedaten ab und umgeht Anti-Malware-Programme. BlackGuard wird auf Hackerforen als Malware-as-a-Service zu einem monatlichen Preis von 200 US-Dollar oder zur Nutzung auf Lebenszeit für 700 US-Dollar angeboten.
Dieses Vertriebsmodell trägt seit dem vergangenen Jahr zum starken Wachstum von Ransomware- und Phishing-Angriffen bei, da die technische Hürde zur Durchführung von Attacken dadurch gesenkt wird.
Das ThreatLabz Team stieß bei seinen Recherchen in Untergrundforen auf die neue Malware, die alle Arten von Informationen im Zusammenhang mit Krypto-Wallets, VPN, Messengern, FTP-Anmeldeinformationen, gespeicherten Browser-Anmeldeinformationen und E-Mail-Clients stehlen kann.
Die Experten von ThreatLabz haben die Malware auf ihre Eigenschaften und Techniken analysiert. BlackGuard ist ein .NET-Stealer mit einem Krypto-Packer, der nach seiner Ausführung auf einem infizierten System dort diejenigen Prozesse prüft und beendet, die mit Antivirus und Sandboxen zusammenhängen.
Durch eine sogenannte String-Verschleierung kann er Antivirenprogramme umgehen und verwendet zudem user32!BlockInput, der den Nutzer davon abhält, Maus und Tastatureingaben zu tätigen und somit Debugging-Versuche zu starten.
Hat BlackGuard erfolgreich potenzielle Abwehrversuche umgangen, wird die Stealing-Funktion aufgerufen, die Informationen von verschiedenen Browsern, Software und kodierten Verzeichnissen sammelt. Die Malware infiltriert auch Browser und ist in der Lage, Anmelde-informationen von Chrome- und Gecko-basierten Browsern samt Verläufen, Passwörtern, Autofill-Informationen und Downloads zu stehlen.
Darüber hinaus ermöglicht der Schadcode den Diebstahl von Krypto-Wallets und anderen sensiblen Dateien im Zusammenhang mit Krypto-Anwendungen samt Krypto-Erweiterungen für die Browser Chrome und Edge. Nach dem Sammeln der Informationen erstellt BlackGuard eine .zip-Datei mit allen gesammelten Daten und sendet sie zusammen mit den Systeminformationen, wie Hardware-ID und Land, an den Zielserver.
BlackGuard in seinem Funktionsumfang noch nicht so vielseitig aufgestellt, wie andere Stealer, wird aber kontinuierlich weiterentwickelt und erwirbt sich aktuell einen Ruf in Untergrundforen. Zum Schutz vor dieser Art Malware empfiehlt das ThreatLabz-Team, den gesamten Datenverkehr zu überprüfen und Malware-Prävention-Tools zu verwenden, die sowohl Antivirus- (für bekannte Bedrohungen) als auch Sandboxing-Funktionen (für unbekannte Bedrohungen) umfassen.
Wie häufig im Falle von Cyber-Angriffen, stellt auch in diesem Fall der Mensch die größte Angriffsfläche und die stärkste Verteidigung dar. Es wird daher empfohlen, die Endbenutzer in den folgenden Punkten zu schulen und diese regelmäßig in Erinnerung zu rufen, um sich bestmöglich zu schützen:
- Passwörter regelmäßig ändern und nie dieselben Passwörter für alle Dienste verwenden
- Multi-Faktor-Authentifizierung verwenden
- Das Surfen auf unbekannten Webseiten vermeiden
- Verdächtige und unbekannte Dateien nicht öffnen