什么是Baldr数据窃取程序以及如何保护您的密码
Baldr是一个新的信息窃取恶意软件系列的名称。它的作者在1月份首次将它介绍给网络犯罪界,大约一个月后,微软的安全团队报告称他们已经在野外看到了它。比尔盖茨的专家说,盗窃者“高度混淆”,这通常表明有人投入了大量精力来创造强大的东西。周二,Malwarebytes发布了他们自己的分析 ,在完成从第一步到最后一步的整个操作后,他们能够确认Baldr确实是一个复杂的黑客的工作。这是它的工作原理。
Table of Contents
打折
Baldr的作者已经决定不为自己保留他们的信息窃取恶意软件。收费,他们愿意与其他网络犯罪分享,也许为了扩大到更广泛的受众,他们选择在clearnet黑客论坛上出售Baldr,而不是在黑暗的网络市场上做广告。
通常情况下,较便宜,较低级别的恶意软件在可通过谷歌访问的论坛上进行交易,但尽管Malwarebytes的专家并未说出Baldr的成本,但他们指出,从技术角度来看,它绝对脱颖而出。交易完成后,有人负责组织销售并提供技术支持。他们甚至可以解决论坛投诉委员会的任何负面反馈。换句话说,Baldr的运营商确保组织信息收集活动并不困难。
分布
毫不奇怪,研究人员已经看到多个广告系列使用不同的分发方法来感染Baldr的用户。例如,YouTube视频广告可以免费生成加密货币的计算机程序。要获得它,用户需要点击视频描述中的缩短网址,正如您现在可能已经猜到的那样,将其引导至Baldr。
显然有些人可能因为这样一个构造不良的骗局而堕落,如果你不是其中之一,你总是可以通过Fallout漏洞利用工具包被感染,这也被认为是推动窃取信息的恶意软件。
抢劫
虽然它带有一些值得注意的检测规避机制,但对于Baldr的信息窃取操作并没有什么突破性的。一旦执行,恶意软件首先描述受害者,收集各种细节,包括操作系统的版本,系统区域设置和语言设置,可用磁盘空间量等。
然后,它会查看AppData和Temp文件夹。这样做的目的是窃取存储的密码,自动填充数据和浏览器的浏览历史记录,以及即时消息应用程序,FTP客户端,VPN解决方案和加密货币钱包存储的其他信息。不过,Baldr并不只是复制文件. 相反,它打开它们,只获取它需要的数据。
一旦准备好AppData和Temp ,它就会移动到Documents and Desktop文件夹,并在每个子目录中运行,从DOC,DOCX,LOG和TXT文件中抓取信息。
最后,Baldr截取受感染计算机桌面的屏幕截图,并将其连同所有其他被盗数据一起发送到命令与控制(C&C)服务器。支付使用Baldr的骗子可以访问管理面板,通过该面板他们可以下载被盗数据并查看有关其广告系列的统计信息。
逃亡
其他恶意程序有许多机制可以确保它们尽可能长时间地保留在受害者的计算机上。 Baldr没有这样的意图。它被宣传为“非常驻”信息窃取者,这意味着它根本没有持久性机制。
通过缓慢而安静地将数据发送到C&C而不是试图保持在雷达之下,它将所有内容放在一个大的ZIP文件中并立即传输。一旦完成,偷取者就会自行删除,尽可能少留下痕迹。您可能已经猜到,目标是避免可能安装在受害者计算机上的安全解决方案进行检测。
正如你所看到的,Baldr是一个强大的信息窃取者,它有很多技巧。更重要的是,任何在口袋里都有一些备用加密硬币的人都可以购买并组织自己的活动,这意味着预测未来的分销渠道几乎是不可能的。
确保您受到保护并不容易,因为尽管许多安全产品已经检测到它,但其作者可能会对其进行更新并包含其他规避机制。您可以做的是确保至少部分数据是安全的,以防您最终被Baldr击中。正如我们之前提到的 ,尽管浏览器确实加密了登录凭据以及您使用它们保存的其他敏感数据,但它们并没有非常安全地执行此操作,而像Baldr这样的信息窃取者已经暂时利用了这一点。如果您使用专用密码管理应用程序 ,则此类型的恶意软件将无法访问用户名和密码。