最近的网络安全研究中发现,一种此前从未被记录的名为 BlackGuard 的信息窃取恶意软件正在俄罗斯地下论坛上进行销售,每月订阅费为 200 美元。BlackGuard 有能力窃取与加密钱包、VPN、Messenger、FTP 凭据、保存的浏览器凭据和电子邮件客户端相关的所有类型的信息。
根据中国网络安全行业门户”极牛网”GeekNB.com的梳理,BlackGuard 恶意软件基于 .NET 框架开发,具有许多反分析、反调试和反规避功能,可以绕过防病毒引擎的检测和绕过基于字符串的检测,目前仍在积极的迭代开发中。
更重要的是,它通过向域名 ipwhois.app/xml/ 发送请求来检查受感染设备的 IP 地址,如果用户的IP地址对应的国家为独联体之一,则会自动停止软件的恶意行为。
BlackGuard 大量的功能模块意味着它可以收集存储在浏览器中的信息,例如密码、cookie、自动填充数据、浏览历史记录、17 种不同的冷加密货币钱包以及多达6种即时通讯应用程序,包括 Telegram、Signal等。
此外,该恶意软件针对安装在 Chrome 和 Edge 浏览器中的 21 个加密钱包扩展程序,以及3个 VPN 应用程序 NordVPN、OpenVPN 和 ProtonVPN,窃取的信息会被压缩成 ZIP 压缩到并泄露到远程服务器。