BoryptGrab Stealer

BoryptGrabは、侵害されたシステムから機密データを収集するために設計された、高度な情報窃取マルウェアです。この脅威は主に、偽のGitHubリポジトリや、フリーソフトウェアツールを宣伝する偽のダウンロードページを通じて拡散します。これらの悪意のあるページは、正規のサイトのように見せかけることで、無防備なユーザーが感染ファイルをダウンロードして実行する可能性を高めます。

特定の攻撃チェーンでは、BoryptGrabはTunnesshClientと呼ばれる追加の悪意のあるコンポーネントも配信します。これは、感染したデバイスへのリモートアクセスとさらなる悪用を可能にするバックドアです。システム上で検出された場合、BoryptGrabまたは関連する脅威は、さらなるデータ窃取やシステム侵害を防ぐために、直ちに削除する必要があります。

回避技術と権限昇格

BoryptGrabは、メインペイロードを実行する前に、セキュリティ研究者や自動分析環境を回避するために設計された複数のチェックを実行します。マルウェアはシステムファイルと構成設定を検査し、仮想マシン内で実行されているかどうかを判断します。このような環境はセキュリティアナリストが一般的に使用しており、マルウェアはこれらの環境を検知することで、動作を変更したり、実行を停止したりすることができます。

仮想マシンの検出に加え、マルウェアはアクティブなプロセスをスキャンして既知の分析ツールやデバッグツールを特定します。これらのツールが検出された場合、悪意のあるアクティビティは露出を防ぐために抑制される可能性があります。感染プロセスのもう一つの重要なステップは、管理者権限の取得を試みることです。これにより、マルウェアは保護されたシステム領域にアクセスし、より広範な機密情報を抽出できるようになります。

ブラウザデータ収集機能

BoryptGrabの主な目的は、ウェブブラウザに保存されている機密情報を収集することです。このマルウェアは、Braveブラウザ、CentBrowser、Chromium、Google Chrome、Microsoft Edge、Mozilla Firefox、Opera、Vivaldi、Yandexブラウザなど、広く使用されている多数のブラウザを標的としています。

これらのブラウザから抽出される情報の種類には、通常、ログイン認証情報、オートフィルデータ、閲覧履歴、その他の保存された個人データが含まれます。このプロセスを支援するために、BoryptGrabはブラウザデータを効率的に抽出できる専用のChromiumベースのツールをダウンロードします。これにより、侵害されたシステムから盗み出せる情報量が大幅に増加します。

暗号通貨ウォレットが攻撃を受ける

暗号資産は、BoryptGrabの主要な標的の一つです。このマルウェアは、デスクトップの暗号資産ウォレットやデジタル資産管理に関連するブラウザ拡張機能に関連するローカルに保存されたデータを検索します。ウォレットデータを抽出することで、攻撃者は保管されている資金にアクセスしたり、送金したりする能力を得る可能性があります。

このマルウェアは、次のような幅広いウォレット アプリケーションと関連サービスを具体的に標的としています。

• アーモリーウォレット
• アトミック
• アトミックDEX
• バイナンス
• ビットコインコア
• ビットペイ
• ブロックストリームグリーン
• チアウォレット
• コインノミ
• 自己負担額
• ダイダロス メインネット
• ダッシュコア
• ドージコイン
• エレクトロンキャッシュ
• エレクトラム
• エレクトラムLTC
• イーサリアム
• 出エジプト
• グリーンアドレス
• グアルダ
• ジャックスデスクトップ
• コモドウォレット
• レジャーライブ
• レジャーウォレット
• ライトコインコア
• MEWデスクトップ
• マルチドッグ
• マイイーサウォレット
• NOWウォレット
• レイヴンコア
• ステークキューブ
• トレザースイート
• ワサビウォレット

このような広範なリストの存在は、このマルウェアが金銭窃盗に重点を置いていることを浮き彫りにしています。

データ収集とデータ流出の拡大

BoryptGrabは、ブラウザや暗号通貨ウォレットに加え、感染システムから追加データを収集します。マルウェアは、一般的なディレクトリを検索し、特定の拡張子を持つファイルを探します。これらのファイルには、貴重な情報が含まれている可能性があります。メッセージングアプリケーションやその他のコミュニケーションプラットフォームも標的となります。

収集されるデータには、Telegramファイル、保存されたブラウザパスワード、そしてマルウェアの新しい亜種ではDiscordの認証トークンが含まれる場合があります。データ収集フェーズが完了すると、BoryptGrabは被害者のデスクトップのスクリーンショットをキャプチャし、侵入したマシンの一般的なシステム情報を収集します。収集されたすべてのデータはアーカイブに圧縮され、攻撃者が管理するサーバーに送信されます。

TunnesshClient バックドア: リモート制御とトラフィック トンネリング

BoryptGrabの一部のバージョンでは、TunnesshClientと呼ばれる追加の悪意のあるツールが展開されますが、この機能はすべての亜種に搭載されているわけではありません。TunnesshClientはPythonベースのバックドアであり、攻撃者にリモートコマンド実行機能を提供します。

このバックドアを通じて、サイバー犯罪者は感染したシステムに直接コマンドを発行できます。また、このツールはリバースSSH接続によるネットワークトラフィックの転送も可能にするため、攻撃者は侵入したデバイスを経由してインターネットアクティビティをルーティングできます。この機能は、悪意のある操作を隠蔽したり、さらなる攻撃を実行したり、被害者のネットワーク内で長期的な持続性を維持したりするために利用される可能性があります。

BoryptGrab感染の影響

BoryptGrabによる侵害が成功すると、被害者は深刻な被害を受ける可能性があります。盗まれた情報には、認証情報、個人データ、暗号通貨ウォレットの詳細などが含まれることが多く、サイバー犯罪者に即座に悪用される可能性があります。

このような攻撃の一般的な影響は次のとおりです。

• 暗号通貨の盗難や金融口座の不正利用による経済的損失
• 個人情報や認証データの漏洩による個人情報の盗難
• 電子メール、ソーシャルメディア、メッセージングプラットフォームなどのオンラインアカウントの乗っ取り
• 追加のマルウェアコンポーネントを通じてもたらされる二次感染

これらのリスクを考慮すると、さらなる被害を制限するには、感染したデバイスからマルウェアを直ちに削除することが不可欠です。

感染経路：悪意のあるGitHubページと偽のソフトウェアダウンロード

BoryptGrabの拡散戦略は、ソーシャルエンジニアリングと信頼できる開発プラットフォームの操作に大きく依存しています。サイバー犯罪者は、正規のソフトウェアプロジェクトをホストしているように見えるGitHubの公開リポジトリを作成します。これらのリポジトリには、本物のツールを模倣するように設計されたドキュメント、ファイル、説明が含まれていることがよくあります。

攻撃者は、可視性を最大限に高めるために、検索エンジン最適化（SEO）技術を用いて、悪意のあるリポジトリやGitHub Pagesを検索結果の上位に表示させます。そのため、ソフトウェアユーティリティ、クラックされたプログラム、ゲームツールなどを検索するユーザーは、検索結果の上位付近にこれらの悪意のあるページが表示される可能性があります。

リポジトリを開くと、ユーザーは通常、本物のソフトウェアダウンロードページを模倣した、プロがデザインしたウェブサイトにリダイレクトされます。これらのページでは、ゲームのチート、クラックされたプログラム、FPSブースター、あるいはFilmoraやVoicemodなどのアプリケーションの改造やダウンロードを謳うユーティリティの広告が頻繁に掲載されています。

このサイトは最終的に、ソフトウェアインストーラーを装ったZIPアーカイブを提供します。アーカイブがダウンロードされ、含まれるファイルが実行されると、悪意のあるペイロードが起動し、BoryptGrabの感染プロセスが開始されます。