“BlackGuard tiene la capacidad de robar todo tipo de información relacionada con billeteras criptográficas, VPN, Messengers, credenciales de FTP, credenciales de navegador guardadas y clientes de correo electrónico”, dijeron los investigadores de Zscaler ThreatLabz, Mitesh Wani y Kaivalya Khursale , en un informe publicado la semana pasada.
También vendido por un precio de por vida de $ 700, BlackGuard está diseñado como un malware basado en .NET que se encuentra en desarrollo activo, y cuenta con una serie de características anti-análisis, anti-depuración y anti-evasión que le permiten eliminar procesos relacionados con motores antivirus y eludir la detección basada en cadenas.
Además, comprueba la dirección IP de los dispositivos infectados mediante el envío de una solicitud al dominio “https://ipwhois[.]app/xml/”, y sale si el país es uno de los países de la Comunidad de Estados Independientes (CEI). ).
La amplia funcionalidad de BlackGuard significa que puede acumular información almacenada en los navegadores, como contraseñas, cookies, datos de autocompletar, historial de navegación, 17 billeteras frías de criptomonedas diferentes y hasta seis aplicaciones de mensajería, incluidas Telegram, Signal, Tox, Element, Pidgin y Discordia.
Además, el malware apunta a 21 extensiones de billetera criptográfica instaladas en los navegadores Chrome y Edge, y tres aplicaciones VPN NordVPN, OpenVPN y ProtonVPN, cuyos resultados se comprimen posteriormente en un archivo ZIP y se extraen a un servidor remoto.
Los hallazgos se producen cuando Morphisec reveló detalles de otra familia de ladrones de información llamada Mars que se ha observado aprovechando anuncios de Google fraudulentos para software conocido como OpenOffice para distribuir el malware.
“Si bien las aplicaciones de BlackGuard no son tan amplias como las de otros ladrones, BlackGuard es una amenaza creciente a medida que continúa mejorándose y está desarrollando una sólida reputación en la comunidad clandestina”, dijeron los investigadores.
