BlackGuard: nuova variante colpisce 57 crypto wallet

BlackGuard: nuova variante colpisce 57 crypto wallet

La nuova variante dell'info-stealer BlackGuard può intercettare l'indirizzo dei wallet e sostituirlo con quelli appartenenti ai cybercriminali.
BlackGuard: nuova variante colpisce 57 crypto wallet
La nuova variante dell'info-stealer BlackGuard può intercettare l'indirizzo dei wallet e sostituirlo con quelli appartenenti ai cybercriminali.

BlackGuard è un info-stealer scoperto per la prima volta a marzo 2022 e venduto come MaaS (Malware-as-a-Service) a 200 dollari/mese o 700 dollari una tantum. La nuova variante offre funzionalità aggiuntive, come la propagazione tramite USB, il caricamento di altri payload in memoria e soprattutto il supporto per numerosi crypto wallet. Il consiglio è installare una soluzione di sicurezza che rileva e blocca questo tipo di minaccia.

Nuove funzionalità di BlackGuard

L’attacco viene eseguito principalmente tramite spear phishing (allegati o link a siti infetti). Come altri info-stealer, BlackGuard raccoglie numerose informazioni, tra cui cookie, cronologia e credenziali dai browser, contenuti dalle app di messaggistica e dati dai crypto wallet (estensioni e desktop). I dati vengono prima conservati in directory specifiche e successivamente inviati al server C2 (command and control) in formato ZIP.

La nuova variante aggiunge cinque funzionalità. La prima è crypto wallet hijacker che intercetta l’indirizzo copiato negli appunti per sostituirlo con quello del wallet dei cybercriminali. La seconda è invece la capacità di propagarsi attraverso i dispositivi USB, sfruttando l’esecuzione automatica.

La nuova variante può inoltre scaricare altri malware e caricarli in memoria tramite il metodo “process hollowing”. Infine, BlackGuard aggiunge se stesso alla chiave Run del registro per la persistenza e copia se stesso in tutte le directory di C:\ con nomi casuali.

Rispetto alla precedente versione può rubare le criptovalute da 57 wallet desktop e estensioni del browser, tra cui Binance, Phantom, Metamask, BitApp, Guildwallet, Slope Wallet, Starcoin, Ronin, AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus e LiteCoinCore.

Gli utenti dovrebbero installare un antivirus e prestare attenzione alle email con allegati sospetti o link a siti sconosciuti.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
26 mar 2023
Link copiato negli appunti