什麼是Baldr數據竊取程序以及如何保護您的密碼

Baldr是一個新的信息竊取惡意軟件系列的名稱。它的作者在1月份首次將它介紹給網絡犯罪界，大約一個月後，微軟的安全團隊報告稱他們已經在野外看到了它。比爾蓋茨的專家說，盜竊者“高度混淆”，這通常表明有人投入了大量精力來創造強大的東西。週二，Malwarebytes發布了他們自己的分析 ，在完成從第一步到最後一步的整個操作後，他們能夠確認Baldr確實是一個複雜的黑客的工作。這是它的工作原理。

打折

Baldr的作者已經決定不為自己保留他們的信息竊取惡意軟件。收費，他們願意與其他網絡犯罪分享，也許為了擴大到更廣泛的受眾，他們選擇在clearnet黑客論壇上出售Baldr，而不是在黑暗的網絡市場上做廣告。

通常情況下，較便宜，較低級別的惡意軟件在可通過谷歌訪問的論壇上進行交易，但儘管Malwarebytes的專家並未說出Baldr的成本，但他們指出，從技術角度來看，它絕對脫穎而出。交易完成後，有人負責組織銷售並提供技術支持。他們甚至可以解決論壇投訴委員會的任何負面反饋。換句話說，Baldr的運營商確保組織信息收集活動並不困難。

分佈

毫不奇怪，研究人員已經看到多個廣告系列使用不同的分發方法來感染Baldr的用戶。例如，YouTube視頻廣告可以免費生成加密貨幣的計算機程序。要獲得它，用戶需要點擊視頻描述中的縮短網址，正如您現在可能已經猜到的那樣，將其引導至Baldr。

顯然有些人可能因為這樣一個構造不良的騙局而墮落，如果你不是其中之一，你總是可以通過Fallout漏洞利用工具包被感染，這也被認為是推動竊取信息的惡意軟件。

搶劫

雖然它帶有一些值得注意的檢測規避機制，但對於Baldr的信息竊取操作並沒有什麼突破性的。一旦執行，惡意軟件首先描述受害者，收集各種細節，包括操作系統的版本，系統區域設置和語言設置，可用磁盤空間量等。

然後，它會查看AppData和Temp文件夾。這樣做的目的是竊取存儲的密碼，自動填充數據和瀏覽器的瀏覽歷史記錄，以及即時消息應用程序，FTP客戶端，VPN解決方案和加密貨幣錢包存儲的其他信息。不過，Baldr並不只是複製文件. 相反，它打開它們，只獲取它需要的數據。

一旦準備好AppData和Temp ，它就會移動到Documents and Desktop文件夾，並在每個子目錄中運行，從DOC，DOCX，LOG和TXT文件中抓取信息。

最後，Baldr截取受感染計算機桌面的屏幕截圖，並將其連同所有其他被盜數據一起發送到命令與控制（C＆C）服務器。支付使用Baldr的騙子可以訪問管理面板，通過該面板他們可以下載被盜數據並查看有關其廣告系列的統計信息。

逃亡

其他惡意程序有許多機制可以確保它們盡可能長時間地保留在受害者的計算機上。 Baldr沒有這樣的意圖。它被宣傳為“非常駐”信息竊取者，這意味著它根本沒有持久性機制。

通過緩慢而安靜地將數據發送到C＆C而不是試圖保持在雷達之下，它將所有內容放在一個大的ZIP文件中並立即傳輸。一旦完成，偷取者就會自行刪除，盡可能少留下痕跡。您可能已經猜到，目標是避免可能安裝在受害者計算機上的安全解決方案進行檢測。

正如你所看到的，Baldr是一個強大的信息竊取者，它有很多技巧。更重要的是，任何在口袋裡都有一些備用加密硬幣的人都可以購買並組織自己的活動，這意味著預測未來的分銷渠道幾乎是不可能的。

確保您受到保護並不容易，因為儘管許多安全產品已經檢測到它，但其作者可能會對其進行更新並包含其他規避機制。您可以做的是確保至少部分數據是安全的，以防您最終被Baldr擊中。正如我們之前提到的 ，儘管瀏覽器確實加密了登錄憑據以及您使用它們保存的其他敏感數據，但它們並沒有非常安全地執行此操作，而像Baldr這樣的信息竊取者已經暫時利用了這一點。如果您使用專用密碼管理應用程序 ，則此類型的惡意軟件將無法訪問用戶名和密碼。