BlackGuard | Nivel de amenaza: high | Tipo: Infostealer

Identificadores criptográficos

SHA256ead17dee70549740a4e649a647516c140d303f507e0c42ac4b6856e6a4ff9e14
MD505d3edc56331ce405e49ad2fc4e6c01e
Tipo de archivoexe
Tamaño1538.0 KB
Primera detección2022-04-01
Nombre de archivoead17dee70549740a4e649a647516c140d303f507e0c42ac4b6856e6a4ff9e14
EtiquetasBlackGuard, exe

Familia de malware: BlackGuard

BlackGuard, stealer'dır.

TipoInfostealer
Lenguaje de programaciónC#/.NET
Plataforma objetivoWindows
Protocolo C2HTTP
PropósitoStealer
Año de primera detección2022

Indicadores de amenaza (IOC)

  • SHA256: ead17dee70549740a4e649a647516c140d303f507e0c42ac4b6856e6a4ff9e14
  • MD5: 05d3edc56331ce405e49ad2fc4e6c01e

Puede verificar todos los valores hash de esta muestra en VirusTotal.

Guía de limpieza del sistema

  1. Desconecte el sistema de la red de inmediato
  2. Yeni bir cihazdan banka hesabı, sosyal medya ve e-posta şifrelerini değiştirin
  3. Mueva las carteras cripto a una nueva dirección y abandone las antiguas
  4. Inicie un análisis completo con un antivirus actualizado
  5. Borre las contraseñas guardadas del navegador y active 2FA
  6. Cierre todas las sesiones en los servicios afectados

Sugerencias de reglas YARA

rule BlackGuard_SHA256 {
    meta:
        description = "BlackGuard sample: ead17dee70549740"
        threat_level = "high"
        first_seen = "2022-04-01"
    condition:
        hash.sha256(0, filesize) == "ead17dee70549740a4e649a647516c140d303f507e0c42ac4b6856e6a4ff9e14"
}

BlackGuard — Perfil del malware

BlackGuard .NET MaaS stealer 2022. $200/ay. 22+ kripto cuzdani. Rus dark web.

Tipo de malware
Infostealer
Lenguaje de programación
C#/.NET
Protocolo C2
HTTP
Sistemas objetivo
Windows

Detalles técnicos

.NET, HTTPS C2 (Telegram/Discord C2 dead drop da destekli), browser stealer, kripto wallet stealer, VPN/FTP stealer, Discord/Steam token, USB propagation, clipper, screenshot

Capacidades y comportamiento

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Lista IOC (2 indicadores)

IOC — BlackGuard
# SHA256 ead17dee70549740a4e649a647516c140d303f507e0c42ac4b6856e6a4ff9e14 # MD5 05d3edc56331ce405e49ad2fc4e6c01e
TipoValorNota
sha256 ead17dee70549740a4e649a647516c140d303f507e0c42ac4b6856e6a4ff9e14 Sample:BlackGuard
md5 05d3edc56331ce405e49ad2fc4e6c01e Sample:BlackGuard

Servidores C2 (2 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
blackguard.shop domain 443 HTTPS active —
5.182.86.125 ip 1337 TCP inactive RU

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
blackguardinfostealermalwarehighsha256hash-analizi