Eine bisher nicht dokumentierte „ausgeklügelte“ Malware mit dem Namen BlackGuard wird in russischen Untergrundforen für ein monatliches Abonnement von 200 Dollar zum Verkauf angeboten.
„BlackGuard ist in der Lage, alle Arten von Informationen über Krypto-Wallets, VPN, Messenger, FTP-Zugangsdaten, gespeicherte Browser-Zugangsdaten und E-Mail-Clients zu stehlen“, so die Zscaler ThreatLabz-Forscher Mitesh Wani und Kaivalya Khursale in einem letzte Woche veröffentlichten Bericht.
BlackGuard ist eine NET-basierte Schadsoftware, die aktiv entwickelt wird und mit einer Reihe von Anti-Analyse-, Anti-Debugging- und Anti-Evasion-Funktionen ausgestattet ist, die es ihr ermöglichen, Prozesse in Verbindung mit Antiviren-Engines zu beenden und die String-basierte Erkennung zu umgehen.
Außerdem überprüft er die IP-Adresse der infizierten Geräte, indem er eine Anfrage an die Domain „https://ipwhois[object 0]app/xml/“ sendet, und beendet sich selbst, wenn das Land zur Gemeinschaft Unabhängiger Staaten (GUS) gehört.
Dank seiner umfangreichen Funktionen kann BlackGuard in Browsern gespeicherte Informationen wie Passwörter, Cookies, Autofill-Daten, den Browserverlauf, 17 verschiedene kalte Kryptowährungs-Wallets und bis zu sechs Messaging-Apps, darunter Telegram, Signal, Tox, Element, Pidgin und Discord, sammeln.
Darüber hinaus zielt die Malware auf 21 Krypto-Wallet-Erweiterungen, die in Chrome- und Edge-Browsern installiert sind, sowie auf die drei VPN-Apps NordVPN, OpenVPN und ProtonVPN.
Die Ergebnisse kommen, nachdem Morphisec Details über eine andere Infostealer-Familie namens Mars veröffentlicht hat, die beobachtet wurde, wie sie betrügerische Google-Anzeigen für bekannte Software wie OpenOffice nutzt, um die Malware zu verbreiten.
„BlackGuard wird zwar nicht so breit eingesetzt wie andere Stealer, ist aber eine wachsende Bedrohung, da er ständig verbessert wird und sich in der Untergrundgemeinschaft einen guten Ruf erarbeitet“, so die Forscher.