BlackGuard è un info-stealer scoperto per la prima volta a marzo 2022 e venduto come MaaS (Malware-as-a-Service) a 200 dollari/mese o 700 dollari una tantum. La nuova variante offre funzionalità aggiuntive, come la propagazione tramite USB, il caricamento di altri payload in memoria e soprattutto il supporto per numerosi crypto wallet. Il consiglio è installare una soluzione di sicurezza che rileva e blocca questo tipo di minaccia.
Nuove funzionalità di BlackGuard
L’attacco viene eseguito principalmente tramite spear phishing (allegati o link a siti infetti). Come altri info-stealer, BlackGuard raccoglie numerose informazioni, tra cui cookie, cronologia e credenziali dai browser, contenuti dalle app di messaggistica e dati dai crypto wallet (estensioni e desktop). I dati vengono prima conservati in directory specifiche e successivamente inviati al server C2 (command and control) in formato ZIP.
La nuova variante aggiunge cinque funzionalità. La prima è crypto wallet hijacker che intercetta l’indirizzo copiato negli appunti per sostituirlo con quello del wallet dei cybercriminali. La seconda è invece la capacità di propagarsi attraverso i dispositivi USB, sfruttando l’esecuzione automatica.
La nuova variante può inoltre scaricare altri malware e caricarli in memoria tramite il metodo “process hollowing”. Infine, BlackGuard aggiunge se stesso alla chiave Run
del registro per la persistenza e copia se stesso in tutte le directory di C:\
con nomi casuali.
Rispetto alla precedente versione può rubare le criptovalute da 57 wallet desktop e estensioni del browser, tra cui Binance, Phantom, Metamask, BitApp, Guildwallet, Slope Wallet, Starcoin, Ronin, AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus e LiteCoinCore.
Gli utenti dovrebbero installare un antivirus e prestare attenzione alle email con allegati sospetti o link a siti sconosciuti.