BHUNT Haittaohjelma
Kryptovaluuttasektorin buumi on kerännyt paljon valtavirran huomiota, mutta sillä on myös valitettava seuraus siitä, että se houkuttelee myös lukuisia kyberrikollisia. Tämän seurauksena useita kryptosvarastaviksi luokiteltuja haittaohjelmauhkia on luotu ja päästetty valloille lukuisissa hyökkäyksissä viimeisen parin vuoden aikana.
Bitdefenderin infosec-tutkijat ovat tunnistaneet täsmälleen sellaisen uhan, jota jäljitetään nimellä BHUNT. Heidän havaintojensa mukaan BHUNT on modulaarinen salauslompakkovarastaja, joka on kirjoitettu .NET-ohjelmistokehykseen. Tapa, jolla uhka leviää, liittyy todennäköisesti aseistetuihin KMSPico-versioihin. KMSPico-työkalun lataavat usein ihmiset, jotka haluavat kiertää Microsoft-tuotteiden asianmukaisen rekisteröinnin ja sen sijaan avata niiden kaikki toiminnot laittomasti. Tämän seurauksena BHUNT on onnistunut tartuttamaan käyttäjiä useista maista useilla eri mantereilla. Bitdefenderin raportin mukaan suurin osa BHUNTin uhreista sijaitsee Intiassa, jota seuraavat Filippiinit ja Kreikka.
Sisällysluettelo
Tekniset yksityiskohdat
BHUNT erottuu muista salausvarastajien uhista keskittymällä entistä enemmän varkain ja havaitsemisen välttämiseen. Uhka on pakattu ja salattu Themidalla ja VMProtectilla. Kahden virtuaalikoneen pakkaajan käyttö tekee käänteissuunnittelusta ja analyysin suorittamisesta paljon vaikeampaa. Lisäksi uhan suoritettava tiedosto on allekirjoitettu Piriformille kuuluvalla varastetulla digitaalisella allekirjoituksella. Allekirjoitus havaitaan kuitenkin edelleen virheelliseksi binäärivirheen vuoksi.
BHUNTin hyökkäysketjuun kuuluu erillinen tiputin, joka on sijoitettu kohteena olevan järjestelmän kansioon \Windows\System32\. dropperin tarkoitus on ottaa käyttöön BHUNTin pääkomponentti tiedostona nimeltä "mscrlib.exe". Pääkomponentti jatkaa sitten lisähaitallisten moduulien purkamista ja käynnistämistä, joista jokainen vastaa tietyn tunkeilevan tehtävän suorittamisesta.
Modulaarinen käyttäytyminen
Tähän mennessä on havaittu viisi erilaista BHUNT-moduulia - 'blackjack', 'chaos_crew', 'golden7', 'Sweet_Bonanza' ja 'mrproper'. "Blackjack"-moduuli suorittaa salaukseen liittyvät prosessit. Ensin se hankkii uhrin salauslompakkotiedot, salaa ne base64:llä ja lähettää ne sitten operaation Command-and-Control (C2, C&C) palvelimille. Uhka kohdistuu Bitcoin-, Litecoin-, Ethereum-, Exodus-, Electrum-, Atomic- ja Jaxx-lompakoihin.
Chaos_crew-moduulin kautta hyökkääjät voivat toimittaa ylimääräisiä haitallisia hyötykuormia vaarantuneeseen järjestelmään. "Golden7"-moduulissa on mahdollisuus kerätä leikepöydälle tallennettuja salasanoja ja ladata ne sitten C2:een. Mitä tulee Sweet_Bonanza-moduuliin, se voi poimia tietoja, jotka on tallennettu useisiin yleisiin selaimiin, kuten Chrome, Opera, Safari, Firefox jne. Lopuksi 'mrproper' voidaan ohjeistaa puhdistamaan järjestelmä BHUNTin jäljiltä, kuten poistamisesta. argumenttitiedostot.
Monipuoliset hyökkäykset
Vaikka BHUNT kohdistuu selkeästi kryptolompakko-osoitteisiin, uhkaa voidaan helposti muokata sopimaan eri hyökkäysoperaatioon kohdistamalla käyttäjien salasanoihin tai verkkoselaimiin tallennettuihin tietoihin. Hyökkääjät voivat sitten vaarantaa uhrin pankkisovellusten ja sosiaalisen median alustojen tilisalasanat. He voivat väärinkäyttää varastettuja tietoja laajentaakseen ulottuvuuttaan, levittääkseen haitallisia uhkia tai myydäkseen tietoja muille verkkorikollisille.
