Une nouvelle variante du voleur BlackGuard a été repérée dans la nature, avec de nouvelles fonctionnalités telles que la propagation USB, les mécanismes de persistance, le chargement de charges utiles supplémentaires en mémoire et le ciblage de portefeuilles cryptographiques supplémentaires.
BlackGuard a été repéré pour la première fois par Zscaler en mars 2022, qui a signalé que le malware était vendu à des cybercriminels sur des forums russophones en tant que MaaS (malware-as-a-service) pour 200 $/mois ou un prix à vie de 700 $.
Le nouveau voleur est apparu peu de temps après la fermeture de l’opération Raccoon Stealer MaaS d’origine, bénéficiant de bons taux d’adoption tout en offrant des capacités étendues de ciblage d’applications.
Cette nouvelle version du voleur BlackGuard a été découverte par les analystes d’AT&T, qui avertissent que le malware est toujours très actif, ses auteurs l’améliorant constamment tout en maintenant le coût de l’abonnement stable.
Nouvelles fonctionnalités de BlackGuard
La portée de ciblage de BlackGuard reste étendue, tentant de voler les cookies et les informations d’identification stockées dans les navigateurs Web, les données d’extension de navigateur de portefeuille de crypto-monnaie, les données de portefeuille de crypto-monnaie de bureau, les informations des applications de messagerie et de jeu, les clients de messagerie et les outils FTP ou VPN.
Ce qui est le plus intéressant dans la dernière version, ce sont les nouvelles fonctionnalités introduites qui font de BlackGuard une menace beaucoup plus puissante.
Tout d’abord, un module de pirate de portefeuille crypto (clipper) remplace les adresses de crypto-monnaie copiées dans le presse-papiers Windows par l’adresse de l’acteur de la menace, dans l’espoir de détourner les transactions de crypto-monnaie vers leurs propres portefeuilles.
Le clipper a des adresses codées en dur pour Bitcoin, Ethereum, Monero, Stellar, Ripple, Litecoin, Nectar, Bitcoin Cash et DASH, il prend donc en charge un certain nombre de crypto-monnaies.
La deuxième nouvelle fonctionnalité est la capacité de BlackGuard à se propager via des clés USB et d’autres périphériques amovibles et à infecter automatiquement tous les nouveaux hôtes qu’il atteint.
Le troisième ajout est la capacité du logiciel malveillant à télécharger des charges utiles supplémentaires à partir du serveur C2 et à les exécuter directement dans la mémoire de l’ordinateur piraté en utilisant la méthode de « vidage de processus », évitant ainsi la détection des outils AV.
La quatrième nouvelle fonctionnalité est la capacité de BlackGuard à s’ajouter sous la clé de registre « Run », gagnant ainsi en persistance entre les redémarrages du système.
Enfin, une fonctionnalité copie les fichiers malveillants dans chaque dossier du lecteur C:\, en attribuant à chaque copie des fichiers un nom aléatoire.
En plus de ces fonctionnalités, BlackGuard cible désormais 57 extensions et portefeuilles de navigateurs de crypto-monnaie, tentant de voler leurs données et de drainer les actifs cryptographiques. En août, lorsque Zscaler a analysé le logiciel malveillant, il n’avait volé que des données provenant de 45 extensions et portefeuilles liés à la cryptographie.
Certaines des extensions ciblées incluent les extensions de portefeuille Binance, Phantom, Metamask, BitApp, Guildwallet, Slope Wallet, Starcoin et Ronin. Certains des portefeuilles dédiés ciblés sont les portefeuilles AtomicWallet, BitcoinCore, DashCore, Electrum, Ethereum, Exodus crypto et LiteCoinCore.
Les analystes d’AT&T commentent que ce système de duplication est plus une gêne qu’un avantage. Cependant, les opérateurs peuvent avoir mis en place ce système pour rendre plus difficile la suppression du malware.
En conclusion, la dernière version de BlackGuard démontre l’évolution continue des logiciels malveillants qui sont en concurrence dans l’espace MaaS, ajoutant des fonctionnalités pour la plupart significatives qui présentent un risque encore plus important pour les utilisateurs.
Pour limiter le risque d’infections par BlackGuard, évitez de télécharger des exécutables à partir de sites Web non fiables, ne lancez pas de fichiers arrivant sous forme de pièces jointes d’e-mails provenant d’expéditeurs inconnus et maintenez votre système et vos outils audiovisuels à jour.