BHUNT Malware

BHUNT Malware

Opblomstringen af cryptocurrency-sektoren har fået megen opmærksomhed i almindelighed, men det kom også med den uheldige konsekvens, at den også tiltrækker adskillige cyberkriminelle. Som et resultat er flere malware-trusler, der er klassificeret som crypto-tyvere, blevet skabt og udløst i adskillige angreb i løbet af de sidste par år.

Infosec-forskerne hos Bitdefender har identificeret præcis sådan en trussel, der spores som BHUNT. Ifølge deres resultater er BHUNT en modulær kryptowallet-tyver skrevet i .NET-softwarerammerne. Den måde, hvorpå truslen spredes, involverer højst sandsynligt bevæbnede KMSPico-versioner. KMSPico-værktøjet downloades ofte af folk, der ønsker at omgå den korrekte registrering af Microsoft-produkter og i stedet låse deres fulde funktionalitet ulovligt op. Som et resultat har BHUNT formået at inficere brugere fra adskillige lande spredt over flere forskellige kontinenter. Ifølge Bitdefenders rapport befinder de fleste af BHUNTs ofre sig i Indien, efterfulgt af Filippinerne og Grækenland.

Tekniske detaljer

BHUNT adskiller sig fra resten af cryptostealer-truslerne ved at udvise et øget fokus på stealthiness og undgåelse af opdagelse. Truslen er pakket og krypteret med Themida og VMProtect. Brugen af to virtuelle maskinpakker gør reverse-engineering og udførelse af analyser så meget sværere. Derudover er truslens eksekverbare fil signeret med en stjålet digital signatur tilhørende Piriform. Signaturen er dog stadig detekteret som ugyldig på grund af en binær uoverensstemmelse.

BHUNTs angrebskæde involverer en dedikeret dropper placeret i mappen \Windows\System32\ på det målrettede system. Formålet med dropperen er at implementere BHUNTs hovedkomponent som en fil med navnet 'mscrlib.exe.' Hovedkomponenten fortsætter derefter med at udtrække og starte de yderligere ondsindede moduler, som hver især er ansvarlige for udførelsen af en specifik påtrængende opgave.

Modulær adfærd

Indtil videre er fem forskellige BHUNT-moduler blevet observeret - 'blackjack', 'chaos_crew', 'golden7', 'Sweet_Bonanza' og 'mrproper.' 'blackjack'-modulet udfører de krypto-relaterede processer. Først indhenter den offerets kryptowallet-detaljer, krypterer dem ved hjælp af base64 og sender dem derefter til operationens Command-and-Control-servere (C2, C&C). Truslen er rettet mod Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic og Jaxx tegnebøger.

Via 'chaos_crew'-modulet kan angriberne levere yderligere ondsindet nyttelast til det kompromitterede system. 'golden7'-modulet er udstyret med muligheden for at høste adgangskoder gemt i udklipsholderen og derefter uploade dem til C2. Hvad angår 'Sweet_Bonanza'-modulet, kan det udtrække data, der er blevet gemt i flere almindelige browsere såsom Chrome, Opera, Safari, Firefox osv. Endelig kan 'mrproper' blive instrueret i at rense systemet fra BHUNTs spor såsom sletning argument filer.

Forskellige angreb

Selvom BHUNT tydeligvis retter sig mod cryptowallet-adresser, kan truslen nemt ændres til at passe ind i en anden angrebsoperation ved at målrette brugernes adgangskoder eller data gemt i webbrowsere. Angriberne kan derefter kompromittere ofrets kontoadgangskoder til bankapps og sociale medieplatforme. De kan misbruge de stjålne oplysninger til at eskalere deres rækkevidde, sprede ondsindede trusler eller sælge oplysningerne til andre cyberkriminelle.

Trending

Indlæser...