Threat Database Malware BHUNT Зловреден софтуер

BHUNT Зловреден софтуер

Бумът на сектора на криптовалутите привлече много масово внимание, но също така дойде с тъжните последици от привличането на множество киберпрестъпници. В резултат на това множество заплахи от злонамерен софтуер, класифицирани като криптокрадци, бяха създадени и отприщени при множество атаки през последните няколко години.

Изследователите на infosec от Bitdefender са идентифицирали точно такава заплаха, проследявана като BHUNT. Според техните констатации BHUNT е модулен крадец на криптовалути, написан в софтуерната рамка .NET. Начинът, по който се разпространява заплахата, най-вероятно включва оръжейни версии на KMSPico. Инструментът KMSPico често се изтегля от хора, които искат да заобиколят правилната регистрация на продукти на Microsoft и вместо това да отключат пълната им функционалност незаконно. В резултат на това BHUNT успя да зарази потребители от множество страни, разпространени в няколко различни континента. Според доклада на Bitdefender повечето от жертвите на BHUNT се намират в Индия, следвани от Филипините и Гърция.

Технически подробности

BHUNT се отличава от останалите заплахи за кражби на криптовалути, като проявява повишен фокус върху скритост и избягване на откриване. Заплахата е пакетирана и криптирана с Themida и VMProtect. Използването на два пакета за виртуални машини прави обратното инженерство и провеждането на анализ много по-трудни. В допълнение, изпълнимият файл на заплахата е подписан с откраднат цифров подпис, принадлежащ на Piriform. Подписът обаче все още се открива като невалиден поради двоично несъответствие.

Веригата за атака на BHUNT включва специален капкомер, поставен в папката \Windows\System32\ на целевата система. Целта на капкомер е да разположи основния компонент на BHUNT като файл с име 'mscrlib.exe.' След това основният компонент пристъпва към извличане и иницииране на допълнителните злонамерени модули, всеки отговорен за изпълнението на конкретна натрапчива задача.

Модулно поведение

Досега са наблюдавани пет различни модула на BHUNT – „blackjack“, „chaos_crew“, „golden7“, „Sweet_Bonanza“ и „mrproper“. Модулът "blackjack" изпълнява процесите, свързани с крипто. Първо, той получава данните за крипто портфейла на жертвата, криптира ги с помощта на base64 и след това ги предава на сървърите за командване и контрол (C2, C&C) на операцията. Заплахата е насочена към портфейли Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic и Jaxx.

Чрез модула 'chaos_crew' нападателите могат да доставят допълнителни злонамерени полезни товари на компрометираната система. Модулът 'golden7' е оборудван с възможност за събиране на пароли, записани в клипборда и след това да ги качвате в C2. Що се отнася до модула 'Sweet_Bonanza', той може да извлича данни, които са били записани в множество основни браузъри като Chrome, Opera, Safari, Firefox и т.н. Накрая, 'mrproper' може да бъде инструктиран да почисти системата от следите на BHUNT, като например изтриване аргументни файлове.

Разнообразни атаки

Въпреки че BHUNT очевидно е насочена към адреси на криптовалути, заплахата може лесно да бъде модифицирана, за да се вмести в различна операция за атака, като се насочи към потребителски пароли или данни, запазени в уеб браузъри. След това нападателите могат да компрометират паролите на акаунта на жертвата за банкови приложения и платформи за социални медии. Те могат да злоупотребяват с откраднатата информация, за да ескалират своя обхват, да разпространяват злонамерени заплахи или да продават информацията на други киберпрестъпници.

Тенденция

Най-гледан

Зареждане...