Voleur BoryptGrab
BoryptGrab est un logiciel malveillant sophistiqué de vol d'informations, conçu pour collecter des données sensibles sur des systèmes compromis. La menace se propage principalement via des dépôts GitHub frauduleux et des pages de téléchargement trompeuses faisant la promotion de logiciels gratuits. Ces pages malveillantes sont conçues pour paraître légitimes, augmentant ainsi la probabilité que des utilisateurs non avertis téléchargent et exécutent les fichiers infectés.
Dans certaines chaînes d'attaque, BoryptGrab installe également un composant malveillant supplémentaire appelé TunneshClient, une porte dérobée permettant l'accès à distance et l'exploitation de l'appareil infecté. Dès sa détection sur un système, BoryptGrab ou toute menace associée doit être immédiatement supprimé afin d'empêcher tout vol de données supplémentaire ou toute compromission du système.
Table des matières
Techniques d’évasion et escalade des privilèges
Avant de lancer sa charge utile principale, BoryptGrab effectue plusieurs vérifications destinées à déjouer les chercheurs en sécurité et les environnements d'analyse automatisée. Le logiciel malveillant inspecte les fichiers système et les paramètres de configuration afin de déterminer s'il s'exécute dans une machine virtuelle. Ces environnements étant fréquemment utilisés par les analystes de sécurité, leur détection permet au logiciel malveillant de modifier son comportement ou d'interrompre son exécution.
Outre la détection des machines virtuelles, le logiciel malveillant analyse les processus actifs afin d'identifier les outils d'analyse ou de débogage connus. Si de tels outils sont détectés, l'activité malveillante peut être désactivée pour éviter toute divulgation. Une autre étape importante du processus d'infection consiste à tenter d'obtenir des privilèges d'administrateur, permettant ainsi au logiciel malveillant d'accéder aux zones protégées du système et d'extraire un plus large éventail d'informations sensibles.
Capacités de collecte de données du navigateur
L'objectif principal de BoryptGrab est la collecte d'informations sensibles stockées dans les navigateurs web. Ce logiciel malveillant cible de nombreux navigateurs largement utilisés, notamment Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi et Yandex Browser.
Les informations extraites de ces navigateurs comprennent généralement les identifiants de connexion, les données de remplissage automatique, l'historique de navigation et d'autres données personnelles enregistrées. Pour faciliter ce processus, BoryptGrab télécharge un outil spécialisé basé sur Chromium qui permet une extraction efficace des données du navigateur. Cela augmente considérablement le volume d'informations pouvant être dérobées à partir d'un système compromis.
Portefeuilles de cryptomonnaies sous attaque
Les cryptomonnaies constituent une autre cible majeure de BoryptGrab. Ce logiciel malveillant recherche les données stockées localement relatives aux portefeuilles de cryptomonnaies sur ordinateur et aux extensions de navigateur associées à la gestion des actifs numériques. En extrayant ces données, les attaquants peuvent accéder aux fonds stockés et les transférer.
Le logiciel malveillant cible spécifiquement un large éventail d'applications de portefeuille et de services connexes, notamment :
- Portefeuille Armory
- Atomique
- AtomicDEX
- Binance
- Bitcoin Core
- BitPay
- Blockstream Green
- Portefeuille Chia
- Coinomi
- Cop
- Réseau principal Daedalus
- Dash Core
- Dogecoin
- Electron Cash
- Électrum
- ElectrumLTC
- Ethereum
- Exode
- Adresse verte
- Garde
- Jaxx Desktop
- Portefeuille Komodo
- Ledger Live
- Portefeuille Ledger
- Litecoin Core
- Bureau MEW
- MultiDoge
- Mon portefeuille Ethereum
- Portefeuille NOW
- Raven Core
- StakeCube
- Suite Trezor
- Portefeuille Wasabi
La présence d'une liste aussi exhaustive souligne l'orientation principale du logiciel malveillant vers le vol financier.
Collecte et exfiltration de données étendues
Outre les navigateurs et les portefeuilles de cryptomonnaies, BoryptGrab collecte des données supplémentaires sur le système infecté. Ce logiciel malveillant recherche dans les répertoires courants des fichiers possédant des extensions spécifiques susceptibles de contenir des informations précieuses. Les applications de messagerie et autres plateformes de communication sont également ciblées.
Les données collectées peuvent inclure des fichiers Telegram, des mots de passe de navigateur enregistrés et, dans les variantes les plus récentes du logiciel malveillant, des jetons d'authentification Discord. Une fois la collecte de données terminée, BoryptGrab capture une capture d'écran du bureau de la victime et compile des informations système générales sur la machine compromise. Toutes les données collectées sont ensuite compressées dans une archive et transmises à un serveur contrôlé par les attaquants.
Porte dérobée de TuneshClient : Contrôle à distance et tunnelage du trafic
Certaines versions de BoryptGrab déploient un outil malveillant supplémentaire appelé TunnesshClient, bien que cette fonctionnalité ne soit pas présente dans toutes les variantes. TunnesshClient est une porte dérobée basée sur Python qui permet aux attaquants d'exécuter des commandes à distance.
Grâce à cette faille de sécurité, les cybercriminels peuvent envoyer des commandes directement au système infecté. L'outil permet également le transfert du trafic réseau via une connexion SSH inversée, permettant ainsi aux attaquants de faire transiter l'activité Internet par le périphérique compromis. Cette fonctionnalité peut être utilisée pour dissimuler des opérations malveillantes, mener d'autres attaques ou assurer une présence durable au sein du réseau de la victime.
Conséquences d’une infection à BoryptGrab
Une attaque réussie de type BoryptGrab peut avoir de graves conséquences pour les victimes. Les informations volées comprennent souvent des identifiants, des données personnelles et des détails sur les portefeuilles de cryptomonnaies, qui peuvent être immédiatement exploités par les cybercriminels.
Les conséquences courantes d'une telle attaque sont les suivantes :
- Pertes financières résultant du vol de cryptomonnaies ou de comptes financiers compromis
- Vol d'identité dû à la fuite de données personnelles ou d'authentification
- Piratage de comptes en ligne tels que des plateformes de messagerie électronique, de réseaux sociaux ou de messagerie instantanée
- Infections secondaires transmises par des composants de logiciels malveillants supplémentaires
Compte tenu de ces risques, la suppression immédiate du logiciel malveillant des appareils infectés est essentielle pour limiter les dommages supplémentaires.
Vecteur d’infection : Pages GitHub malveillantes et faux téléchargements de logiciels
La stratégie de distribution de BoryptGrab repose largement sur l'ingénierie sociale et la manipulation de plateformes de développement de confiance. Les cybercriminels créent des dépôts GitHub publics qui semblent héberger des projets logiciels légitimes. Ces dépôts contiennent souvent de la documentation, des fichiers et des descriptions conçus pour imiter des outils authentiques.
Pour maximiser leur visibilité, les attaquants utilisent des techniques de référencement (SEO) afin de positionner leurs dépôts malveillants et leurs pages GitHub en tête des résultats de recherche. Les utilisateurs recherchant des utilitaires logiciels, des programmes piratés ou des outils de jeu peuvent donc tomber sur ces pages malveillantes parmi les premiers résultats.
Une fois un dépôt ouvert, les utilisateurs sont généralement redirigés vers un site web au design professionnel imitant une page de téléchargement de logiciels authentique. Ces pages font souvent la promotion de codes de triche pour les jeux, de programmes piratés, d'accélérateurs de FPS ou d'utilitaires prétendant modifier ou télécharger des applications telles que Filmora ou Voicemod.
Le site propose finalement une archive ZIP qui prétend contenir le programme d'installation du logiciel. Une fois l'archive téléchargée et les fichiers qu'elle contient exécutés, le code malveillant est activé et le processus d'infection par BoryptGrab démarre.
