Die Malware BoryptGrab wird über ein Netzwerk von über 100 GitHub-Repositories verbreitet und stiehlt Browser-, Kryptowallet- und Systemdaten. Trend Micro hat entdeckt, dass einige Varianten auch einen Backdoor namens TunnesshClient installieren.
Sicherheitsforscher von Trend Micro haben eine umfangreiche Kampagne zur Verbreitung der Informationsbeschaffungs-Malware BoryptGrab aufgedeckt. Die Schadsoftware wird über ein Netzwerk von mehr als 100 GitHub-Repositories als vermeintlich kostenlose Software-Tools verbreitet und zielt auf sensible Nutzerdaten ab.
BoryptGrab ist ein C/C++-basierter Stealer mit erweiterten Fähigkeiten. Er kann Daten aus zahlreichen Browsern extrahieren, nutzt Chrome-App-Bound-Verschlüsselungstechniken und verfügt über spezielle Funktionen zur Überwindung von Sicherheitsmechanismen. Der Malware sind VM- und Anti-Analyse-Checks integriert, und sie versucht, mit erhöhten Berechtigungen zu laufen.
Die gesammelten Informationen sind beeindruckend in ihrer Vielfalt: Browser-Passwörter, Kryptowallet-Daten von Desktop-Anwendungen, Telegram-Dateien, Discord-Token und weitere Systeminformationen. Darüber hinaus kann die Malware Screenshots erstellen und gezielt Dateien mit bestimmten Dateiendungen sammeln.
Besonders bemerkenswert ist, dass einige Varianten von BoryptGrab den Backdoor TunnesshClient installieren, der eine SSH-Tunnel-Verbindung für C&C-Kommunikation nutzt. Dieser ermöglicht Angreifern, Befehle auszuführen, Dateien zu verwalten, ein SOCKS5-Proxy zu betreiben und sogar ganze Ordner auf den Server hochzuladen.
Die Untersuchung von Trend Micro zeigt unterschiedliche Ausführungsmechanismen: Während einige Varianten DLL-Sideloading nutzen, verwenden andere VBS-Skripte, .NET-Executables oder einen Golang-basierten Downloader namens HeaconLoad. Alle identifizierten Binärdateien enthielten ähnliche russischsprachige Kommentare, was auf einen gemeinsamen Ursprung hindeutet.
Trend Micro warnt, dass die BoryptGrab-Kampagne ein Beispiel für eine sich entwickelnde Bedrohungslandschaft darstellt. Die Angreifer nutzen gezielt täuschende Software-Downloads und gefälschte GitHub-Repositories, um Nutzer zu infizieren. Die zunehmende technische Raffinesse der Operation zeigt, dass es sich um eine professionell organisierte Kampagne handelt, die höchste Aufmerksamkeit verdient.
Quelle: SecurityWeek