Varian baru dari pencuri BlackGuard telah terlihat di alam liar, menampilkan kemampuan baru seperti propagasi USB, mekanisme persistensi, memuat muatan tambahan dalam memori, dan menargetkan dompet kripto tambahan.
BlackGuard pertama kali ditemukan oleh Zscaler pada Maret 2022yang melaporkan bahwa malware tersebut dijual kepada penjahat dunia maya di forum berbahasa Rusia sebagai MaaS (malware-as-a-service) seharga $200/bulan atau harga seumur hidup sebesar $700.
Pencuri baru muncul tak lama setelah aslinya Operasi Raccoon Stealer MaaS ditutupmenikmati tingkat adopsi yang baik sambil menawarkan kemampuan penargetan aplikasi yang ekstensif.
Versi baru pencuri BlackGuard ini ditemukan oleh analis di AT&Tyang memperingatkan bahwa malware tersebut masih sangat aktif, dengan pembuatnya terus menyempurnakannya sambil menjaga agar biaya berlangganan tetap stabil.
Fitur BlackGuard baru
Cakupan penargetan BlackGuard tetap luas, mencoba mencuri cookie dan kredensial yang disimpan di browser web, data ekstensi browser dompet cryptocurrency, data dompet crypto desktop, informasi dari aplikasi perpesanan dan game, klien email, dan alat FTP atau VPN.
Yang paling menarik di versi terbaru adalah fitur-fitur baru yang telah diperkenalkan yang membuat BlackGuard menjadi ancaman yang jauh lebih kuat.
Pertama, modul pembajak dompet kripto (pemangkas) menggantikan alamat mata uang kripto yang disalin ke papan klip Windows dengan alamat pelaku ancaman, dengan harapan dapat mengalihkan transaksi mata uang kripto ke dompet mereka sendiri.
Clipper memiliki alamat hardcode untuk Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Nectar, Bitcoin Cash, dan DASH, sehingga mendukung beberapa cryptocurrency.
Fitur baru kedua adalah kemampuan BlackGuard untuk menyebarkan melalui stik USB dan perangkat yang dapat dilepas lainnya dan secara otomatis menginfeksi setiap host baru yang dijangkau.
Penambahan ketiga adalah kemampuan malware untuk mengunduh muatan tambahan dari server C2 dan mengeksekusinya langsung di memori komputer yang dilanggar menggunakan metode “proses lekukan”, sehingga menghindari deteksi dari alat AV.
Fitur baru keempat adalah kemampuan BlackGuard untuk menambahkan dirinya sendiri di bawah kunci registri “Jalankan”, sehingga mendapatkan kegigihan di antara reboot sistem.
Terakhir, fitur menyalin file malware ke setiap folder di drive C:\, memberikan nama acak pada setiap salinan file.
Selain fitur-fitur ini, BlackGuard sekarang menargetkan 57 ekstensi dan dompet browser cryptocurrency, mencoba mencuri data mereka dan menguras aset crypto. Pada bulan Agustus, ketika Zscaler menganalisis malware, malware tersebut hanya mencuri data dari 45 ekstensi dan dompet terkait crypto.
Beberapa ekstensi yang ditargetkan termasuk ekstensi dompet Binance, Phantom, Metamask, BitApp, Guildwallet, Slope Wallet, Starcoin, dan Ronin. Beberapa dompet khusus yang ditargetkan adalah dompet AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus crypto, dan LiteCoinCore.
Analis AT&T berkomentar bahwa sistem duplikasi ini lebih merupakan gangguan daripada keuntungan apa pun. Namun, operator mungkin telah menerapkan sistem ini untuk mempersulit penghapusan malware.
Kesimpulannya, versi terbaru BlackGuard menunjukkan evolusi berkelanjutan dari malware yang bersaing di ruang MaaS, menambahkan sebagian besar fitur bermakna yang menimbulkan risiko yang lebih signifikan bagi pengguna.
Untuk menghindari risiko infeksi BlackGuard, hindari mengunduh file yang dapat dieksekusi dari situs web yang tidak dapat dipercaya, jangan meluncurkan file yang datang sebagai lampiran email dari pengirim yang tidak dikenal, dan selalu perbarui sistem dan alat AV Anda.
