Introducción

Los foros de piratería a menudo funcionan como mercados clandestinos donde los ciberdelincuentes compran, alquilan y venden todo tipo de productos ilegales maliciosos, incluidos software, troyanos, ladrones, exploits y credenciales filtradas. El malware como servicio ha contribuido sustancialmente al crecimiento de los ataques de ransomware y phishing (entre otros tipos de ataques) en el último año, ya que reducen la barrera técnica de entrada para que los delincuentes lleven a cabo ataques.

Mientras revisaba recientemente uno de estos foros de piratería durante las actividades de investigación regulares, el equipo de Zscaler ThreatLabz se encontró con BlackGuard, un malware sofisticado, anunciado para la venta. Actualmente, Blackguard se vende como malware como servicio con un precio de por vida de $700 dólares y un precio mensual de $200 dólares.

BlackGuard tiene la capacidad de robar todo tipo de información relacionada con billeteras criptográficas, VPN, Messengers, credenciales de FTP, credenciales de navegador guardadas y clientes de correo electrónico.

Ha habido un marcado aumento en los Threat Actors (TA) que usan Info Stealers para llevar a cabo sus ataques, y Cyble Research Labs ha estado  rastreando activamente estas amenazas . Los ladrones de información (Info Stealers)son una seria amenaza para la ciberseguridad. El grupo de extorsión de datos LAPSUS$, que estuvo detrás de una de las violaciones de datos más importantes de la historia reciente, también es sospechoso de utilizar  Info Stealers  para obtener acceso inicial a la red de la organización.

Recientemente, Cyble Research Labs descubrió una muestra perteneciente a “Blackguard Stealer“. Este «Stealer» apareció en los foros de ciberdelincuencia en abril de 2021. Encontramos varias variantes de este malware en el ciberespacio, lo que destaca que puede estar siendo empleado por una gran cantidad de TA.

En este blog, compartimos análisis y capturas de pantalla de las técnicas que utiliza este Stealer para robar información y evitar la detección mediante la ofuscación, así como las técnicas utilizadas para evitar la depuración.

Familia de Malware BLACKGUARD

ATT&CK IDS: T1134 – Manejo de token de acceso, T1566 – Phishing, T1106 – API nativa, T1547 – Ejecución de inicio automático al iniciar o iniciar sesión, T1115 – Datos del portapapeles, T1070 – Eliminación del indicador de host, T1007 – Descubrimiento, – Archivos o información ofuscada, T1041 – Exfiltración sobre el canal C2, T1057 – Descubrimiento de procesos, T1087 – Descubrimiento de cuentas, T1095 – Protocolo de capa sin aplicación, T1113 – Captura de pantalla,T1124 – System Time Discovery, T1204 – Ejecución de Sesión de Usuario, T1497 – Virtualization/Sandbox Evasion, T1518 – Descubrimiento de Software, T1528 – Steal Application Access Token, T1539 – Steal Web Session Cookie, T1552 – Credenciales Poco Seguras, T1555 – Credenciales de almacenamiento de contraseñas, T1614 – Descubrimiento de la ubicación del sistema.

Fig. 1. Hilo del foro que promociona al Stealer BlackGuard

Análisis Técnico

BlackGuard es un Stealer de .NET equipado con un empaquetador de cifrado. Actualmente se encuentra en desarrollo activo y tiene las siguientes características:

  • El Malware está escrito en C# y se ofusca con la herramienta Obfuscar, que es una herramienta de ofuscación de .NET de código abierto. La muestra reciente usó la  función sleep() varias veces para evitar la detección de sandbox. Utiliza técnicas anti-depuración, que evitan que alguien depure la muestra. También utiliza una técnica de marca de tiempo antiforense que altera la marca de tiempo del archivo real para evitar ser identificado durante las actividades forenses.
detalles del archivo de una variante reciente
  • Este ladrón opera con el modelo Malware-as-a-Service (MaaS), en el que los AT alquilan su software para realizar actividades maliciosas. Blackguard también está disponible en un modelo de suscripción mensual y de por vida. El TA declaró en los foros de ciberdelincuencia que pueden agregar al malware Blackguard la funcionalidad de malware clipper (un tipo de malware que modifica las direcciones criptográficas en el portapapeles a la especificada por el TA) a solicitud del cliente. Esto indica que el malware se puede personalizar para el robo financiero.
Panel web Blackguard Stealer del Cyber-Crime Forum
  • El TA afirmó que el ladrón tiene funcionalidad para exfiltrar los datos que se muestran en la figura a continuación.
Características del ladrón
  • La muestra (SHA 256:67843d45ba538eca29c63c3259d697f7e2ba84a3da941295b9207cdb01c85b71) en tiempo de ejecución comprueba inicialmente la presencia de un depurador y termina su ejecución si se identifica un depurador. La siguiente figura muestra la función anti-depuración en el malware.
verificación anti-depuración
  • El malware utiliza la  función Sleep() varias veces como técnica anti-sandbox durante su ejecución. El método Thread.Sleep()  hace que el subproceso actual deje de ejecutarse durante el tiempo especificado en milisegundos. La siguiente figura muestra la  función Sleep()  utilizada durante la ejecución inicial.
función Dormir()
método de inicio
  • Después de realizar las comprobaciones anti depuración, llama al  método Start() , que llamará a otros métodos, como se ve en la Figura 7. Estos métodos iniciarán la actividad de robo de datos del sistema de la víctima. El malware crea un directorio en «c:\users\[username]\Documents» para almacenar los datos robados de las máquinas de la víctima.
  • El nombre del directorio se genera con el formato: Cadena aleatoria + Nombre del equipo + . + nombre de usuario
  • TA ha codificado algunas cadenas utilizando compresión base64 y gzip, por lo que cada vez que se pasa una cadena codificada como parámetro,  se llama a la función decrypt.Get()  para obtener las cadenas decodificadas. La figura 8 muestra la  función Decrypt.get() .
Función Descifrar.Obtener()
  • Este malware se dirige principalmente a navegadores como Chrome, Edge y Firefox. El malware lee los archivos key3.db, key4.db, logins.json y cert9.db para robar datos del navegador, como contraseñas, tarjetas de crédito, historial y datos autocompletados. El malware crea una carpeta llamada «Navegadores» donde guardará los datos en archivos .txt separados.
Robar datos del navegador
  • Usando el  método GetDomainDetect(), el malware enumera todos los archivos .txt en la carpeta «Navegador» creada en el paso anterior, los lee y verifica si los siguientes dominios están presentes, incluidos los intercambios de criptomonedas populares y los principales sitios web bancarios. Si el malware encuentra estos dominios objetivo, almacenará todas las credenciales relacionadas con ellos.
Detección de dominio
  • El malware copia los datos de la víctima del directorio USERPROFILE y los guarda en una carpeta llamada «Archivos». El directorio USERPROFILE contiene datos específicos de varios usuarios en un sistema.
robar archivos
billeteras de criptomonedas frías dirigidas

Este malware tiene la capacidad de robar datos de carteras de criptomonedas frías. Una billetera fría almacena los datos fuera de línea y, por lo tanto, es más segura. Las carteras objetivo se pueden ver en la Figura 12.

informacion.txt
  • Después de eso, el malware identifica la geolocalización del usuario enviando una solicitud a  hxxps[:]//freegeoip[.]app/xml/. El malware recibe la respuesta y la guarda en un archivo llamado “Información.txt”. Además, guarda la información del sistema.

  • Luego toma la captura de pantalla del sistema de la víctima y la guarda como «Screen.png» en el directorio creado inicialmente por el malware.
Captura de pantalla del sistema
  • El malware roba credenciales de VPN como ProtonVPN, OpenVPN y NordVPN. El malware primero verifica si una VPN está instalada o no al verificar el directorio »  C:\Users\[username]\AppData\Local\[VPN name] «.
  • Si encuentra un servicio VPN específico, roba las credenciales de los archivos de configuración, como  user.config  , etc., y copia el archivo de configuración en la carpeta utilizada para guardar los datos robados.
Robo de credenciales de VPN para Nord VPN
  • El malware roba datos de Steam, un servicio de distribución de videojuegos digitales. El ladrón identifica la ruta de instalación de Steam comprobando el valor de la clave de registro en »  HKEY_LOCAL_MACHINE\Software\Valve\Steam «.
  • Si Steam está instalado en la máquina, el malware roba los datos de Steam del  archivo de configuración loginusers.vdf  presente en la máquina de la víctima. El malware crea una carpeta llamada «Steam» y copia el archivo .vdf en ella para fines de exfiltración.
Robar datos de Steam del dispositivo de la víctima
  • Después de eso, el malware verifica los tokens de Discord. Primero, busca los siguientes directorios:
  1. Discord\\Almacenamiento local\\leveldb
  2. discordptb\\Almacenamiento local\\leveldb
  3. Discord Canarias\\leveldb

Si puede encontrar estos directorios, busca archivos que terminen en .ldb o .log y extrae tokens de Discord de ellos usando una expresión regular. Luego crea una carpeta llamada «Discord» y escribirá los tokens robados en » Tokens.txt «.

Robo de tokens de discordia

Blackguard también puede robar datos de FileZilla. Comprueba si el archivo FileZilla\recentservers.xml está presente en la carpeta ApplicationData y luego extrae Host, Port, User y Password de «recenterver.xml«. Estos datos luego se escriben en “FileZilla\FileZilla.log”.

Robo de datos de FileZilla

Después de eso, el malware verifica el archivo «Telegram Desktop\tdata» en la carpeta ApplicationData. Si está presente en el sistema de la víctima, crea una carpeta llamada «Telegram» que se utilizará para guardar los archivos robados de la ubicación «Telegram Desktop\tdata«.

Robo de datos de FileZilla
  • El TA en esta muestra está usando Telegram para filtrar los datos. Encontramos la siguiente API de Telegram utilizada por el malware durante nuestro análisis de exfiltración de datos.
  • URL:  hxxps[:]//api.telegram.org/bot/sendDocument?chat_id=
  • El malware comprime los datos robados antes de la exfiltración. La Figura 20 muestra las carpetas creadas por el malware.
Directorios creados

Anti-detección

Una vez ejecutado, escanea y elimina los procesos relacionados con antivirus y sandbox como se muestra en la siguiente figura.

BlackGuard detecta procesos antivirus

Ofuscación de cadenas

El malware contiene una matriz de bytes codificados que se decodifican en tiempo de ejecución en cadenas ASCII seguidas de decodificación base64. Esto le permite pasar por alto el antivirus y la detección basada en cadenas.

Fig 3. Técnica de descifrado de cadenas

Anti-CEI

BlackGuard verifica el país del dispositivo infectado enviando una solicitud a «http://ipwhois.app/xml/» y sale sólo si el dispositivo está ubicado en la Comunidad de Estados Independientes (CEI).

Fig. 4. Lista blanca de CIS

Anti-depuración

BlackGuard usa user32!BlockInput() que puede bloquear todos los eventos del mouse y del teclado para detener los intentos de depuración.

Fig 5. Técnica anti-depuración

Función de Robo

Una vez que se completan todas las comprobaciones, se llama a la función de ladrón, que recopila información de varios navegadores, software y directorios codificados, como se muestra en la siguiente captura de pantalla.

Fig 6. Código del ladrón
Fig 7. Recursos publicados en el foro

Navegadores

BlackGuard roba las credenciales de los navegadores basados ​​en Chrome y Gecko utilizando la ruta estática. Tiene la capacidad de robar historial, contraseñas, autocompletar información y descargas.

Fig 8. Función de robo del navegador

Monederos de criptomonedas

BlackGuard también admite el robo de billeteras y otros archivos confidenciales relacionados con las aplicaciones de billetera criptográfica. Se dirige a datos confidenciales en archivos como wallet.dat que contienen la dirección, la clave privada para acceder a esa dirección y otros datos. El Stealer verifica la ubicación del archivo de billetera predeterminado en AppData y lo copia en la carpeta de trabajo.

Fig 9. Función de robo de billetera criptográfica

Extensiones de cifrado

Este malware también apunta a las extensiones de billetera criptográfica instaladas en Chrome y Edge con ID de extensión codificadas como se muestra en la figura a continuación.

Fig 10. Función de robo de extensiones criptográficas

Exfiltración C2

Después de recopilar la información, BlackGuard crea un .zip de todos los archivos y lo envía al servidor C2 a través de una solicitud POST junto con la información del sistema, como la identificación del hardware y el país, como se muestra en la figura a continuación.

Fig. 11. Fragmento de código de exfiltración C2
Fig 12. Captura de tráfico de exfiltración
Fig 13. Captura de pantalla del panel

Aplicaciones Dirigidas

  • Navegadores: Chrome, Opera, Firefox, MapleStudio, Iridium, 7Star, CentBrowser, Chedot, Vivaldi, Kometa, Elements Browser, Epic Privacy Browser, uCozMedia, Coowon, liebao, QIP Surf, Orbitum, Comodo, Amigo, Torch, Comodo, 360Browser, Maxthon3, K-Melon, Sputnik, Nichrome, CocCoc, Uran, Chromodo, Edge, BraveSoftware.
  • Carteras criptográficas: AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus, LitecoinCore, Monero, Jaxx, Zcash, Solar, Zap, AtomicDEX, Binance, Frame, TokenPocket, Wassabi.
  • Extensiones de billetera criptográfica: Binance, coin98, Phantom, Mobox, XinPay, Math10, Metamask, BitApp, Guildwallet, iconx, Sollet, Slope Wallet, Starcoin, Swash, Finnie, KEPLR, Crocobit, OXYGEN, Nifty, Liquality, billetera Auvitas, billetera Math, billetera MTV, Monedero Rabet, monedero Ronin, monedero Yoroi, monedero ZilPay, Exodus, Terra Station, Jaxx.
  • Clientes de correo electrónico: Panorama
  • Otras aplicaciones: NordVPN, OpenVPN, ProtonVpn, Totalcomander, Filezilla, WinSCP, Steam
  • Mensajeros: Telegram, Signal, Tox, Element, Pidgin, Discord

Conclusión

Observamos y analizamos varias muestras de este ladrón de información en la red. Parece que este TA en particular está tratando de hacer que el malware sea aún más elusivo con cada actualización, ya que los niveles de antianálisis y ofuscación son bastante diferentes entre las muestras más antiguas y las más nuevas. Los ladrones de información (Info Stealers) se están convirtiendo en una de las principales preocupaciones, ya que ayudan a los AT a obtener acceso inicial a las redes corporativas. Por lo tanto, es cada vez más necesario seguir las prácticas básicas de seguridad e higiene cibernética que se enumeran a continuación.
Si bien las aplicaciones de BlackGuard no son tan amplias como las de otros Info stealers, BlackGuard es una amenaza creciente a medida que continúa mejorando y está desarrollando una sólida reputación en la comunidad clandestina.
Para combatir BlackGuard y otro malware de robo de credenciales similar, recomendamos que los equipos de seguridad inspeccionen todo el tráfico y utilicen herramientas de prevención de malware que incluyan capacidades antivirus (para amenazas conocidas) y sandboxing (para amenazas desconocidas). También recomendamos capacitar a los usuarios finales en lo siguiente:

  1. No use las mismas contraseñas para todos los servicios y reemplácelas en una cadencia regular.
  2. Utilice la autenticación multifactor cuando corresponda.
  3. Evite visitar sitios web desconocidos.
  4. Evite abrir archivos desconocidos sospechosos.

Nuestras recomendaciones

  • Evite descargar software pirateado de sitios warez/torrent. La “Herramienta Hack” presente en sitios como YouTube, sitios de torrents, etc., contiene principalmente este tipo de malware.
  • Use contraseñas seguras y haga cumplir la autenticación de múltiples factores siempre que sea posible.
  • Active la función de actualización automática de software en su computadora, teléfono móvil y otros dispositivos conectados.
  • Utilice un paquete de software antivirus y de seguridad de Internet de renombre en sus dispositivos conectados, incluidos PC, portátiles y dispositivos móviles.
  • Evite abrir enlaces y archivos adjuntos de correo electrónico que no sean de confianza sin verificar primero su autenticidad.
  • Instruya a los empleados para que se protejan de amenazas como el phishing o las URL no confiables.
  • Bloquee las URL que podrían usarse para propagar malware, por ejemplo, Torrent/Warez.
  • Supervise la baliza a nivel de red para bloquear la exfiltración de datos por parte de malware o TA.
  • Habilite la solución de prevención de pérdida de datos (DLP) en los sistemas de los empleados.

Técnicas MITRE ATT&CK® 

Táctica Identificación de la técnica Nombre de la técnica 
Ejecución  T1204ejecución del usuario
Evasión de defensa T1497.001 
T1027
Evasión de virtualización/sandbox: el sistema escanea
archivos o información ofuscados
Acceso con credencial T1555 
T1539 
T1552 
T1528
Contraseña Almacena Credenciales
Roba Cookie de Sesión Web
Credenciales Inseguras
Roba Token de Acceso a la Aplicación
Colección T1113Imprimir pantalla
Descubrimiento T1087 
T1518 
T1057 
T1124 
T1007
T1614
Descubrimiento de cuentas
Descubrimiento de
procesos Descubrimiento de
tiempo
Sistema de descubrimiento de servicios Sistema de descubrimiento de servicios Sistema de descubrimiento de
ubicación Descubrimiento de ubicación
Comando y control T1095Protocolo de capa de no aplicación
Exfiltración T1041Exfiltración sobre el canal C2

Indicadores de Compromiso (IoCs)

Indicadores Tipo de indicador Descripción 
ef8385f6ccc6dc6aa6fa9833e13c1cf3 2fe6c0b8cef78d409d29fbd0d1260f39874b068e 5b8d0e358948f885ad1e6fa854f637c1e30036bc217f2c7f2579ad0e358948f885ad1e6fa854f637c1e30036bc217f2c7f2579ad8782d7274Md5    SHA-1    SHA-256Carga útil del ladrón
d4e02002916f18576204a3f1722a958b 33ec434ad2c31de93e758b9d53fcf211c5b13702 9fff9895c476bee0cba9d3e209e841873f1756d18c40afa1b364bd99dc84Md5    SHA-1    SHA-256Carga útil del ladrón
eb6c563af372d1af92ac2b60438d076d 9895725811ae5fda88629781daaa439c95a4976e 67843d45ba538eca29c63c3259d697f7e2ba84a3da941295b9207cdb01c85b7Md5    SHA-1    SHA-256Carga útil del ladrón
a6651dc499e0b9141a6fa0f411f885ea a421e5753596d4c07ee8df06c2080c03507f7a37 5ce632f1f10c96a7524bf384015c25681ef4771f09a6b86883a4da846509adMd5    SHA-1    SHA-256Carga útil del ladrón

Más COI

Hashes

4d66b5a09f4e500e7df0794552829c925a5728ad0acd9e68ec020e138abe80ac
c98e24c174130bba4836e08d24170866aa7128d62d3e2b25f3bc8562fdc74a66
7f2542ed2768a8bd5f6054eaf3c5f75cb4f77c0c8e887e58b613cb43d9dd9c13
f2d25cb96d3411e4696f8f5401cb8f1af0d83bf3c6b69f511f1a694b1a86b74d
bbc8ac47d3051fbab328d4a8a4c1c8819707ac045ab6ac94b1997dac59be2ece
f47db48129530cf19f3c42f0c9f38ce1915f403469483661999dc2b19e12650b
ead17dee70549740a4e649a647516c140d303f507e0c42ac4b6856e6a4ff9e14
1ee88a8f680ffd175943e465bf85e003e1ae7d90a0b677b785c7be8ded481392
71edf6e4460d3eaf5f385610004cfd68d1a08b753d3991c6a64ca61beb4c673a
e08d69b8256bcea27032d1faf574f47d5412b6da6565dbe52c968cecea1cd5d

Dominios

win.mirtonewbacker.com
http://www.umpulumpu.ru
greenblguard.tienda
unodospasos

Cobertura Zscaler

Aseguramos la cobertura de las cargas útiles que se ven en estos ataques a través de firmas de amenazas avanzadas, así como nuestro sandbox de nube avanzado.

Protección avanzada contra amenazas

Win32.PWS.Blackguard

Sandbox avanzado en la nube

Fig. 14. Detección de sandbox de Zscaler

Acerca de ThreatLabz
ThreatLabz es el brazo de investigación de seguridad de Zscaler. Este equipo de clase mundial es responsable de buscar nuevas amenazas y garantizar que las miles de organizaciones que utilizan la plataforma global Zscaler estén siempre protegidas. Además de la investigación de malware y el análisis de comportamiento, los miembros del equipo están involucrados en la investigación y el desarrollo de nuevos módulos prototipo para la protección avanzada contra amenazas en la plataforma Zscaler y realizan auditorías internas de seguridad con regularidad para garantizar que los productos y la infraestructura de Zscaler cumplan con los estándares de cumplimiento de seguridad. ThreatLabz publica regularmente análisis detallados de amenazas nuevas y emergentes en su portal,   research.zscaler.com .

Acerca de Cyble
Cyble es un proveedor global de SaaS de inteligencia de amenazas que ayuda a las empresas a protegerse contra el cibercrimen y la exposición a la Darkweb. Su enfoque principal es proporcionar a las organizaciones visibilidad en tiempo real de su huella de riesgo digital. Con el apoyo de Y Combinator como parte de la cohorte de invierno de 2021, Cyble también fue reconocida por Forbes como una de las 20 mejores empresas emergentes de ciberseguridad para observar en 2020. Con sede en Alpharetta, Georgia, y oficinas en Australia, Singapur, Dubái e India, Cyble tiene presencia mundial. Para obtener más información sobre Cyble, visite http://www.cyble.com.

Fuente: ThreatLabz y Cyble

Reproducción autorizada en castellano del Artículo publicado por DCiber de Brasil.-