Un logiciel malveillant de vol d’informations « sophistiqué » précédemment non documenté nommé BlackGuard est annoncé à la vente sur des forums clandestins russes pour un abonnement mensuel de 200 $.
« BlackGuard a la capacité de voler tous les types d’informations liées aux portefeuilles Crypto, aux VPN, aux messageries, aux identifiants FTP, aux identifiants de navigateur enregistrés et aux clients de messagerie », ont déclaré Mitesh Wani et Kaivalya Khursale, chercheurs de Zscaler ThreatLabz. mentionné dans un rapport publié la semaine dernière.
Également vendu pour un prix à vie de 700 $, BlackGuard est conçu comme un logiciel malveillant basé sur .NET qui est activement en cours de développement, doté d’un certain nombre de fonctionnalités anti-analyse, anti-débogage et anti-évasion qui lui permettent de tuer les processus liés à moteurs antivirus et contourner la détection basée sur des chaînes.
De plus, il vérifie l’adresse IP des appareils infectés en envoyant une requête au domaine « https://ipwhois[.]app/xml/, » et quittez-le si le pays fait partie de la Communauté des États indépendants (CEI).
Les fonctionnalités étendues de BlackGuard signifient qu’il peut accumuler des informations stockées dans les navigateurs, telles que les mots de passe, les cookies, les données de remplissage automatique, l’historique de navigation, 17 portefeuilles de crypto-monnaie froide différents et jusqu’à six applications de messagerie, y compris Telegram, Signal, Tox, Element, Pidgin et Discorde.
En outre, le logiciel malveillant cible 21 extensions de portefeuille crypto installées dans les navigateurs Chrome et Edge, et trois applications VPN NordVPN, OpenVPN et ProtonVPN, dont les résultats sont ensuite compressés dans une archive ZIP et exfiltrés vers un serveur distant.
Les découvertes surviennent alors que Morphisec a divulgué les détails d’une autre famille de voleurs d’informations appelée Mars qui a été observée en train d’utiliser des annonces Google frauduleuses pour des logiciels bien connus comme OpenOffice pour distribuer le malware.
« Bien que les applications de BlackGuard ne soient pas aussi étendues que celles des autres voleurs, BlackGuard est une menace croissante car il continue d’être amélioré et développe une solide réputation dans la communauté clandestine », ont déclaré les chercheurs.