Baldr Stealer - это вредоносное программное обеспечение, предназначенное для кражи информации. Киберпреступники могут приобрести этот инструмент на хакерских форумах, чтобы получать доход за счет неправомерного использования записанной (украденной) информации. Как правило, они представляют эту программу как инструмент, который можно использовать для различных целей.
Baldr Stealer
Baldr Stealer рекламировалась в читерских видео по CS:GO как программа, которая якобы позволяет пользователям мошенничать при игре в эту игру. Таким образом, киберпреступники обманом заставляют людей загрузить и установить Baldr Stealer.
Скриншот разработчика, продающего Baldr на хакерском форуме:
Инструмент Baldr может быть приобретен любым желающим за 150 долларов. Киберпреступники распространяют его для кражи данных браузера, таких как куки, пароли, история просмотров, автозаполнение форм и другие. Кроме того, он способен похищать файлы wallet.dat, которые создаются клиентами Bitcoin. Эти файлы используются для хранения информации о закрытых ключах.
Baldr также записывает данные из приложений для обмена сообщениями, таких как Jabber, Psi +, Psi и Pidgin, и собирает данные из VPN-клиентов, таких как NordVPN и ProtoVPN. Он также записывает информацию из Filezilla и Total Commander. Кроме того, он может использоваться для кражи файлов, размещенных на рабочем столе, в папках Documents и Downloads. Он также может быть использован для создания скриншотов.
Baldr Stealer собирает системную информацию, такую как геолокация, IP-адреса, имя компьютера и имя пользователя, системные данные, такие как MAC-адрес, разрешение экрана, язык операционной системы, объем оперативной памяти, список установленных программ и другую информацию подобного рода. Похищенные данные используются для получения дохода различными способами.
Indicators of Compromise
IPv4
- 18.207.217.146
- 18.221.49.166
- 23.19.58.101
- 23.254.217.112
- 23.254.225.240
- 23.95.95.61
- 45.64.186.10
- 45.77.252.143
- 46.249.62.196
- 46.30.42.130
- 5.188.231.210
- 5.188.231.96
- 5.188.60.101
- 5.188.60.115
- 5.188.60.18
- 5.188.60.206
- 5.188.60.24
- 5.188.60.30
- 5.188.60.54
- 5.188.60.68
- 5.188.60.7
- 5.188.60.74
- 5.45.73.87
- 5.8.88.198
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Baldr Stealer.
| ID | Техника | CWE | Описание | Доверие |
| 1 | T1006 | CWE-21, CWE-22, CWE-23 | Обход имени пути | Высокий |
| 2 | T1055 | CWE-74 | Инъекция | Высокий |
| 3 | T1059 | CWE-94 | Межсайтовый скриптинг | Высокий |
| 4 | T1059.007 | CWE-79, CWE-80 | Межсайтовый скриптинг | Высокий |