一种名为 BlackGuard 的新型信息窃取恶意软件正在赢得网络犯罪社区的关注，现在在众多暗网市场和论坛上以 700 美元的终生价格或每月 200 美元的订阅价格出售。

窃取者可以从广泛的应用程序中获取敏感信息，将所有内容打包到 ZIP 存档中，并将其发送到恶意软件即服务 (MaaS) 操作的 C2。

购买订阅的威胁参与者然后可以访问 BlackGuard 网络面板以检索被盗的数据日志，要么自己利用它们，要么将它们出售给他人。

Zscaler的研究人员发现并分析了 BlackGuard ，他们注意到恶意软件的流行度突然飙升，尤其是在Raccoon Stealer 突然关闭之后。

ZZQIDC发现 BlackGuard 于 2022 年 1 月首次出现在俄语论坛上，出于测试目的私下传播。

2022 年 2 月论坛帖子展示了 BlackGuard 的战利品 (KELA)
广泛的偷窃能力
与所有现代信息窃取者一样，没有多少应用程序存储或处理不在 BlackGuard 目标范围内的敏感用户数据，并且重点主要放在加密货币资产上。

BlackGuard 将寻求以下软件的存在并试图从中窃取用户数据：

网络浏览器：Chrome、Opera、Firefox、MapleStudio、Iridium、7Star、CentBrowser、Chdot、Vivaldi、Kometa、Elements Browser、Epic Privacy Browser、uCozMedia、Coowon、liebao、QIP Surf、Orbitum 的密码、cookies、自动填充和历史记录Comodo, Amigo, Torch, Comodo, 360Browser, Maxthon3, K-Melon, Sputnik, Nichrome, CocCoc, Uran, Chromodo, Edge, BraveSoftware
钱包浏览器扩展：Binance、coin98、Phantom、Mobox、XinPay、Math10、Metamask、BitApp、Guildwallet、iconx、Sollet、Slope Wallet、Starcoin、Swash、Finnie、KEPLR、Crocobit、OXYGEN、Nifty、Liquality、Auvitas 钱包、Math 钱包, MTV 钱包, Rabet 钱包, Ronin 钱包, Yoroi 钱包, ZilPay 钱包, Exodus, Terra Station, Jaxx
加密货币钱包：AtomicWallet、BitcoinCore、DashCore、Electrum、Ethereum、Exodus、LitecoinCore、Monero、Jaxx、Zcash、Solar、Zap、AtomicDEX、Binance、Frame、TokenPocket、Wassabi
电子邮件：展望
信使: Telegram, Signal, Tox, Element, Pidgin, Discord
其他：NordVPN、OpenVPN、ProtonVpn、Totalcommander、Filezilla、WinSCP、Steam
收集到的信息被捆绑在一个 ZIP 文件（也称为日志）中，并通过 POST 请求发送到 C2 服务器，同时还有一个系统分析报告，该报告为受害者设置唯一的硬件 ID 并确定他们的位置。

从一系列 Web 浏览器中窃取信息 (Zscaler)
反检测功能
BlackGuard 的逃避能力仍在大力开发中，但一些系统已经到位，可以帮助恶意软件逃避检测和分析。

首先，它带有一个加密器，它的所有字符串都是base64混淆的，所以很多依赖静态检测的反病毒工具都会错过它。

恶意软件会检测到系统上运行的任何 AV，然后会尝试杀死它们的进程并终止它们的操作。
该恶意软件还会检查受害者的 IP 地址，如果它在俄罗斯或任何其他独联体国家的系统上运行，它将停止并退出。这是恶意软件起源的又一迹象。

被排除在攻击之外的国家列表 (Zscaler)
最后，反调试功能阻止了鼠标和键盘输入的操作，使研究人员更难以分析恶意软件。

外表
信息窃取者正在增加，Redline、MarsStealer、Vidar Stealer和AZORult 目前在该领域占据主导地位。

作为最大参与者之一的 Raccoon Stealer 的退出在网络犯罪市场留下了空白，因此其他 MaaS 运营商将尝试利用这一发展。

KELA的威胁分析师 Daria Romana Pop与ZZQIDC分享了以下关于信息窃取者现状的见解：

“鉴于信息窃取者获取的受损帐户和数据作为初始访问目标的载体的使用和利用增加，KELA 最近观察到网络犯罪论坛上正在宣传新变种，因为威胁参与者旨在提高恶意软件的功能以更好地避免被发现并推进数据收集和泄露过程。”

“BlackGuard 窃取程序于 2021 年初推出。由于网络犯罪分子不断测试此类恶意工具的功能，他们并不回避要求更高的质量和改进。KELA 遇到了最近的几次讨论，其中用户抱怨 BlackGuard 无法正确避免被发现。与任何业务一样，运营商承诺立即提供更新版本。

BlackGuard 的作者承诺改进反检测方案 (KELA)
“在另一种情况下，KELA 发现了 META——一种新的信息窃取程序，其外观与 RedLine 非常相似，RedLine 收集的数据正在 TwoEasy 僵尸网络市场上出售。该窃取程序于 3 月初推出，现在每月售价 125 美元或1000美元无限制使用，运营商声称它是RedLine的改进版。”

在黑客论坛 (KELA)上推广的 META 信息窃取者
为了保护自己免受所有传播的信息窃取恶意软件的侵害，请避免访问阴暗的网站并从不可靠或可疑的来源下载文件。

最后，使用双重身份验证，使您的操作系统和应用程序保持最新，并为您的所有在线帐户使用强大且唯一的密码。