B3hpy
O malware B3hpy é uma ameaça, escrita na linguagem de programação Python. Os analistas de malware identificaram essa ameaça pela primeira vez em 2019 em sistemas Windows localizados no Oriente Médio. Parece que a ameaça B3hpy está sendo distribuída com a ajuda de emails de spam. Os pesquisadores afirmam que o malware B3hpy está vinculado ao projeto BadPatch - uma operação que está ativa desde 2017 e tem como alvo principalmente usuários do Oriente Médio.
Como mencionamos, a ameaça B3hpy é propagada por e-mail de phishing. Os emails em questão parecem conter um anexo '.scr' malicioso. Esse tipo de arquivo está desatualizado, pois indica um arquivo de proteção de tela. No entanto, os arquivos '.scr' podem ser alterados para servir como um arquivo de extração automática. Se o usuário iniciar o anexo malicioso, haverá dois arquivos plantados em seu sistema - 'd.exe', que contém a carga útil do malware B3hpy, e 's.docx', que é um arquivo de documento ilusório. O último serve para distrair o usuário da atividade obscura que ocorre em seu sistema. O arquivo 's.docx' funciona como um documento inofensivo, para que o usuário não consiga localizar o arquivo 'd.exe' malicioso, que plantará o malware B3hpy em seu sistema.
Quando o malware B3hpy é implantado com sucesso, ele se conecta imediatamente ao servidor C&C (Comando e Controle) dos atacantes. Em seguida, a ameaça B3hpy enviaria ao servidor C&C informações sobre o host - endereço MAC, versão do SO, detalhes de hardware e uma lista compilada dos dados localizados em 'Arquivos de Programas (x86)', 'Arquivos de Programas', Microsoft. NET \ Framework64, diretórios '' Microsoft.NET \ Framework ''. Quando isso for executado com êxito, a ameaça B3hpy começará a extrair cargas úteis adicionais do servidor C&C.
A ameaça B3hpy está programada para segmentar .doc, .docx, .txt, .xlsx, .xls, .rar, .pdf e .mdb. Os arquivos direcionados serão transferidos para os atacantes por e-mail enviado para 'b3h@emails.pal4u.net'. Este endereço de email específico está associado ao projeto BadPatch. O malware B3hpy também pode obter credenciais de login salvas no navegador da Web Google Chrome. Se o usuário conectou uma unidade flash USB, a ameaça B3hpy verificará a presença de arquivos que correspondem aos seus critérios. Se algum for detectado, eles serão imediatamente copiados e transferidos para os atacantes por email.
Parece que a ameaça B3hpy é usada principalmente contra usuários palestinos. No entanto, os pesquisadores de malware detectaram campanhas B3hpy direcionadas a usuários nos Estados Unidos, Índia, Brasil e Colômbia.
