Un logiciel malveillant de vol d’informations « sophistiqué » appelé BlackGuard est proposé sur les forums clandestins russes pour un abonnement de 200$ par mois.
« BlackGuard a la capacité de voler tous les types de portefeuilles chiffrés, de VPN, de messagers, d’identifiants FTP, d’identifiants de navigateur enregistrés et de clients de messagerie » ont déclaré les chercheurs de Zscaler ThreatLabz Mitesh Wani et Kaivalya Khursale dans un communiqué publié la semaine dernière.
BlackGuard est également proposé à 700$ à vie. Il a été conçu comme un logiciel malveillant basé sur .NET. Il est actuellement en cours de développement actif avec de nombreuses fonctionnalités anti-analyse, anti-débogage et anti-évasion pour tuer les moteurs de processus liés aux antivirus et contourner la détection basée sur les chaînes.
De plus, il vérifie l’adresse IP de l’appareil infecté en envoyant une requête au domaine « https://ipwhois[.]app/xml/ ». Si le pays fait partie de la Communauté des États indépendants (CEI), il est fermé automatiquement.
Les fonctionnalités étendues de BlackGuard signifient qu’il peut accumuler des informations stockées dans :
- Les navigateurs tels que les mots de passe, les cookies, les données de remplissage automatique, l’historique de navigation,
- 17 portefeuilles de crypto-monnaie froide différents
- 6 applications de messagerie, notamment : Telegram, Signal, Tox, Element, Pidgin et Discord.
De plus, le malware a ciblé 21 extensions de portefeuille cryptées installées dans les navigateurs Chrome et Edge, ainsi que trois applications VPN NordVPN, OpenVPN et ProtonVPN. Ensuite, il compresse leurs résultats dans une archive ZIP et les transmet à un serveur distant.
Les découvertes surviennent alors que Morphisec a divulgué des détails sur une autre famille de voleurs d’informations appelée Mars, qui a été observée en train d’utiliser des publicités Google frauduleuses pour distribuer des logiciels malveillants pour des logiciels bien connus tels qu’OpenOffice.
« Bien que BlackGuard ne soit pas aussi largement utilisé que les autres voleurs, BlackGuard est une menace croissante car il continue de s’améliorer et s’est bâti une solide réputation dans la communauté clandestine », ont déclaré les chercheurs.