Resources

Rising Stealer in Q1 2022: BlackGuard Stealer

Date 2022. 04. 01

Executive Summary

  • 감염된 PC에서 계정 정보와 기기 정보를 수집해 빼내는 BlackGuard Stealer는 2022년 1월, 다크웹 포럼에 홍보 기사를 올리면서 등장했습니다. 
  • BlackGuard Steller는 브라우저 사용자 데이터, 로컬 파일, 가상자산 지갑, VPN 계정, Steam 계정, Discord 토큰, FileZilla 데이터, Telegram 세션 데이터 등의 계정 정보 뿐만 아니라 OS 버전, 시스템 정보, IPv4, 국가 및 스크린샷 등의 기기 정보를 수집하여 감염된 PC에서 추출했습니다.
    • 수집된 정보는 임시로 생성된 폴더에 저장되고, 정보 수집 후 폴더는 *.zip 파일로 압축되어 Telegram API를 통해 유출되었습니다.

Introduction of BlackGuard Stealer

BlackGuard는 C#으로 작성된 stealers의 정보 중 하나입니다.  주로 윈도우 업데이트 파일을 위장한 악성 소프트웨어, 가짜 MS 오피스 설치 프로그램, 컴퓨터 클리너 소프트위어 등을 통해 배포됩니다.

최근에는, stealer 정보가 포함된 다운로드 링크를 유튜브 영상에 첨부하여 어뷰즈를 발생시켰습니다. 2022년 3월, 게임 해킹 프로그램을 다운로드할 수 있는 링크가 유튜브 동영상에 게시되었고, 사용자가 소프트웨어를 다운로드하여 실행하자 44Caliber Stealer가 해당 PC에서 실행된 바 있습니다. 

  • Reference: https://asec.ahnlab.com/en/32499/
  • YouTube link: https[:]//www[.]youtube[.]com/watch?v=YI8rJhQLsfg
  • Malware download page: https[:]//anonfiles[.]com/J0b03cKexf

현재 유통되고 있는 BlackGuard Stealer는 44Caliber Stealer로, BlackGuard와 44Caliber 모두 동일한 방법을 사용하여 계정 정보와 기기 정보를 수집하고 있습니다. 또한 임시로 생성한 폴더에 해당 정보를 저장한 후 *.zip file로 압축하는 방법도 동일합니다. 하지만 BlackGuard가 Telegram의 sendDocument API를 사용하는 반면, 44Caliber는 Discord Webhook API 를 사용하여 정보를 빼내는 점에서 차이가 있습니다.


☑️ Click here to learn more