BHUNT البرامج الضارة
لقد حظي ازدهار قطاع العملات المشفرة بالكثير من الاهتمام السائد ولكنه جاء أيضًا مع النتيجة المؤسفة المتمثلة في جذب العديد من مجرمي الإنترنت. ونتيجة لذلك ، تم إنشاء وإطلاق العديد من تهديدات البرامج الضارة المصنفة على أنها خارقة للشفرات في العديد من الهجمات على مدار العامين الماضيين.
حدد باحثو إنفوسيك في Bitdefender بالضبط مثل هذا التهديد الذي تم تعقبه مثل BHUNT. وفقًا للنتائج التي توصلوا إليها ، فإن BHUNT عبارة عن سارق معياري للمحفظة المشفرة مكتوب في إطار عمل برنامج .NET. الطريقة التي ينتشر بها التهديد تتضمن على الأرجح نسخ KMSPico مسلحة. غالبًا ما يتم تنزيل أداة KMSPico بواسطة الأشخاص الذين يرغبون في التحايل على التسجيل المناسب لمنتجات Microsoft وإلغاء تأمين وظائفهم الكاملة بشكل غير قانوني بدلاً من ذلك. نتيجة لذلك ، تمكنت BHUNT من إصابة المستخدمين من العديد من البلدان المنتشرة عبر عدة قارات مختلفة. وفقًا لتقرير Bitdefender ، فإن معظم ضحايا BHUNT موجودون في الهند ، تليها الفلبين ، ثم اليونان.
جدول المحتويات
تفاصيل تقنية
تميز BHUNT نفسها عن بقية تهديدات cryptostealer من خلال إظهار التركيز المتزايد على التخفي وتجنب الاكتشاف. يتم تعبئة التهديد وتشفيره باستخدام Themida و VMProtect. استخدام اثنين من حزم الأجهزة الافتراضية يجعل الهندسة العكسية وإجراء التحليل أصعب بكثير. بالإضافة إلى ذلك ، يتم توقيع الملف القابل للتنفيذ الخاص بالتهديد بتوقيع رقمي مسروق ينتمي إلى Piriform. ومع ذلك ، لا يزال يتم اكتشاف التوقيع على أنه غير صالح بسبب عدم تطابق ثنائي.
تتضمن سلسلة هجوم BHUNT قطارة مخصصة موضوعة في مجلد \ Windows \ System32 \ للنظام المستهدف. الغرض من القطارة هو نشر المكون الرئيسي لـ BHUNT كملف يسمى "mscrlib.exe." ثم ينتقل المكون الرئيسي لاستخراج وبدء الوحدات الخبيثة الإضافية ، كل منها مسؤول عن تنفيذ مهمة تدخلية محددة.
سلوك معياري
حتى الآن ، تمت ملاحظة خمس وحدات BHUNT مختلفة - "لعبة ورق" و "chaos_crew" و "Golden7" و "Sweet_Bonanza" و "mrproper." وحدة "البلاك جاك" تنفذ العمليات المتعلقة بالعملات المشفرة. أولاً ، يحصل على تفاصيل المحفظة المشفرة للضحية ، ويقوم بتشفيرها باستخدام base64 ، ثم ينقلها إلى خوادم القيادة والتحكم (C2 ، C&C) للعملية. يستهدف التهديد محافظ Bitcoin و Litecoin و Ethereum و Exodus و Electrum و Atomic و Jaxx.
من خلال وحدة "chaos_crew" ، يمكن للمهاجمين تسليم حمولات ضارة إضافية للنظام المخترق. تم تجهيز الوحدة "golden7" بإمكانية تجميع كلمات المرور المحفوظة في الحافظة ثم تحميلها على C2. بالنسبة لوحدة "Sweet_Bonanza" ، يمكنها استخراج البيانات التي تم حفظها في العديد من المتصفحات الرئيسية مثل Chrome و Opera و Safari و Firefox وما إلى ذلك. وأخيرًا ، يمكن توجيه تعليمات "mrproper" لتنظيف النظام من آثار BHUNT مثل الحذف ملفات الحجة.
هجمات متنوعة
على الرغم من أن BHUNT تستهدف بوضوح عناوين المحفظة المشفرة ، يمكن تعديل التهديد بسهولة ليناسب عملية هجوم مختلفة عن طريق استهداف كلمات مرور المستخدمين أو البيانات المحفوظة في متصفحات الويب. يمكن للمهاجمين بعد ذلك اختراق كلمات مرور حساب الضحية للتطبيقات المصرفية ومنصات التواصل الاجتماعي. يمكنهم إساءة استخدام المعلومات المسروقة لتصعيد وصولهم أو نشر التهديدات الخبيثة أو بيع المعلومات لمجرمي الإنترنت الآخرين.
