Baldr obsahoval chyby, které umožnily ostatním kyberútočníkům nainstalovat zadní vrátka.
SophosLabs, globální výzkumná síť společnosti Sophos, zveřejnila zprávu o malwaru Baldr, který se objevil na trzích temného webu (dark web) v lednu 2019. Sophos ve zprávě s názvem Baldr vs. svět uvádí podrobnosti o vzestupu a pádu tohoto malwaru, statistiky o obětech, podrobnosti o chybách, které tvůrci v tomto malwaru zanechali, i o chybách obětí. Zpráva rovněž vysvětluje zjevný nesoulad v kyberzločinecké komunitě, který vedl k ukončení prodeje malwaru Baldr na hlubokém webu (deep web).
Až doposud bylo o Baldru k dispozici jen málo informací. Zpráva SophosLabs analyzuje tento malware a odhaluje jeho vnitřní fungování, zajímavé způsoby chování kyberzločinců a chyby na straně prodávajících i kupujících. Zpráva obsahuje například následující poznatky:
Ti, kteří vyvinuli malware Baldr, jej připravili na prodej pro kyberzločince začínající na hlubokém webu a ti poté jako první zaútočili na počítačové hráče.
Baldr od té doby pokročil, přestal jen „útočit na hráče“ a v současnosti ovlivňuje širší škálu softwaru.
Podobně jako mnoho různých druhů malwaru využívá Baldr fragmenty kódu vypůjčené z jiných typů malwaru, nicméně je speciální tím, že si půjčuje kód z relativně velkého množství jiného malwaru.
Baldr může od obětí rychle získat celou řadu informací, včetně uložených hesel, dat v mezipaměti, konfiguračních souborů, cookies a dalších souborů, a to z celé řady aplikací, například: 22 různých webových prohlížečů, 14 různých peněženek na kryptoměny, klientských aplikací VPN, nástrojů pro přenos souborů, klientů pro instant messaging a chat, herních klientů a herních služeb, například Steam, Epic a Sony, služeb souvisejících s hrami, například Twitch nebo Discord.
Podle údajů laboratoří SophosLab se útoky rozšířily mimo oblast her a zahrnují všechny uživatele počítačů. K infekcím docházelo na celém světě, v čele s Indonésií (více než 21 % obětí), USA (10,52 %), Brazílií (14,14 %), Ruskem (13,68 %), Indií (8,77 %) a Německem (5,43 %). Česká republika obsadila 30. místo s 0,17 procenty.
Serverový kód malwaru Baldr obsahoval chyby, které umožnily ostatním kyberútočníkům nainstalovat zadní vrátka, díky nimž mohli ukrást zákaznická hesla a jejich zcizená data.
Někteří zákazníci špatně nakonfigurovali kód příkazového serveru a ponechali své nástroje a data otevřené ostatním. Laboratoře SophosLabs zjistily, že na webové stránky Virus Total bylo neúmyslně nahráno více než 150 souborů s protokoly obsahujícími ukradená data z napadených počítačů.
Výzkumníci se domnívají, že malware je patrně ruského původu a data ukradená od obětí v Rusku a okolních zemích (CIS) byla uložena ve speciální složce na příkazovém serveru útočníků. Baldr zmizel z prodeje v červnu po hádce mezi tvůrcem a distributorem. SophosLabs očekávají, že se časem znovu objeví, ale možná pod jiným jménem.