BHUNT Malware
Rozmach kryptoměnového sektoru si získal velkou pozornost hlavního proudu, ale také přišel s neblahým důsledkem přilákání mnoha kyberzločinců. V důsledku toho bylo za posledních několik let vytvořeno a uvolněno několik malwarových hrozeb klasifikovaných jako kryptostealery, které se rozpoutaly v četných útocích.
Výzkumníci infosec v Bitdefender identifikovali přesně takovou hrozbu sledovanou jako BHUNT. Podle jejich zjištění je BHUNT modulární zloděj kryptopeněženek napsaný v softwarovém frameworku .NET. Způsob, jakým se hrozba šíří, s největší pravděpodobností zahrnuje verze KMSPico se zbraněmi. Nástroj KMSPico si často stahují lidé, kteří chtějí obejít řádnou registraci produktů společnosti Microsoft a místo toho nelegálně odemknout jejich plnou funkčnost. Výsledkem je, že BHUNT dokázal infikovat uživatele z mnoha zemí na několika různých kontinentech. Podle zprávy Bitdefenderu se většina obětí BHUNT nachází v Indii, následují Filipíny a Řecko.
Obsah
Technické údaje
BHUNT se odlišuje od ostatních hrozeb kryptostealerů tím, že projevuje zvýšené zaměření na tajnost a vyhýbání se detekci. Hrozba je zabalena a zašifrována pomocí Themida a VMProtect. Použití dvou balíčků virtuálních strojů značně ztěžuje reverzní inženýrství a provádění analýz. Kromě toho je spustitelný soubor hrozby podepsán odcizeným digitálním podpisem patřícím společnosti Piriform. Podpis je však stále detekován jako neplatný kvůli binární neshodě.
Útokový řetězec BHUNT zahrnuje vyhrazený dropper umístěný ve složce \Windows\System32\ cílového systému. Účelem dropperu je nasadit hlavní komponentu BHUNT jako soubor s názvem 'mscrlib.exe.' Hlavní komponenta poté pokračuje v extrahování a inicializaci dalších škodlivých modulů, z nichž každý je zodpovědný za provedení konkrétního rušivého úkolu.
Modulární chování
Dosud bylo pozorováno pět různých modulů BHUNT - 'blackjack', 'chaos_crew', 'golden7', 'Sweet_Bonanza' a 'mrproper.' Modul 'blackjack' provádí procesy související s kryptoměnami. Nejprve získá podrobnosti o kryptopeněžence oběti, zašifruje je pomocí base64 a poté je přenese na servery Command-and-Control (C2, C&C) operace. Hrozba se zaměřuje na peněženky Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic a Jaxx.
Prostřednictvím modulu 'chaos_crew' mohou útočníci dopravit do kompromitovaného systému další škodlivé zatížení. Modul 'zlatý7' je vybaven schopností sbírat hesla uložená ve schránce a poté je nahrát do C2. Pokud jde o modul 'Sweet_Bonanza', dokáže extrahovat data, která byla uložena do několika běžných prohlížečů, jako je Chrome, Opera, Safari, Firefox atd. Nakonec může být 'mrproper' instruován, aby vyčistil systém od BHUNTových stop, jako je smazání soubory argumentů.
Různorodé útoky
Přestože BHUNT jasně cílí na adresy kryptopeněženek, hrozbu lze snadno upravit tak, aby zapadla do jiné útočné operace, a to cílením na hesla uživatelů nebo data uložená ve webových prohlížečích. Útočníci pak mohou prolomit hesla k účtům oběti pro bankovní aplikace a platformy sociálních médií. Mohou zneužít odcizené informace k eskalaci svého dosahu, šíření škodlivých hrozeb nebo prodat informace dalším kyberzločincům.
