【安全资讯】新型BoryptGrab窃密软件通过虚假GitHub页面瞄准Windows用户

概要：

网络安全研究人员近期发现一种名为BoryptGrab的新型窃密软件，正通过大量伪装成免费软件工具的虚假GitHub仓库进行传播。该恶意软件不仅窃取浏览器数据、加密货币钱包信息和系统信息，还能下载名为TunnesshClient的后门程序，建立反向SSH隧道供攻击者远程控制。此次攻击活动规模庞大，利用搜索引擎优化（SEO）技术提高恶意仓库的搜索排名，对普通用户和加密货币持有者构成了严重威胁。

主要内容：

BoryptGrab窃密软件主要通过伪装成游戏作弊工具、性能提升软件等热门免费工具的虚假GitHub页面进行分发。攻击者创建了大量公开仓库，其README文件包含精心设计的SEO关键词，使得这些恶意页面在搜索引擎结果中排名靠前，诱骗用户下载包含恶意代码的ZIP压缩包。

感染链始于用户从伪造的GitHub下载页面获取ZIP文件。该文件可能包含通过DLL侧加载技术执行的加载器，或是一个VBS脚本下载器。加载器会从资源节中解密并执行一个启动载荷，该载荷负责下载最终的BoryptGrab窃密软件。攻击链不同阶段的代码中均包含俄语注释和日志信息，且相关IP地址位于俄罗斯，暗示了攻击者的可能来源。

BoryptGrab本身功能强大，能收集多种浏览器数据、超过20种桌面及浏览器加密货币钱包信息、系统信息、常见文件、Telegram数据、Discord令牌及密码。它采用反虚拟机（Anti-VM）和反调试检查，并利用公开的Chrome应用绑定加密绕过技术来解密浏览器数据。部分变种还能下载TunnesshClient后门。

TunnesshClient是一个PyInstaller打包的可执行文件，通过向攻击者服务器发送HTTP请求获取SSH凭证，随后建立反向SSH隧道。它可作为SOCKS5代理，并执行攻击者下发的多种命令，包括执行shell命令、文件传输和搜索等，实现了对受感染主机的持久控制。该活动中还观察到了经过代码混淆的现有Vidar窃密软件变种。