BHUNT Malware

क्रिप्टोक्यूरेंसी क्षेत्र के उछाल ने मुख्यधारा का बहुत ध्यान आकर्षित किया है, लेकिन यह कई साइबर अपराधियों को आकर्षित करने के दुर्भाग्यपूर्ण परिणाम के साथ भी आया है। नतीजतन, क्रिप्टोस्टीलर के रूप में वर्गीकृत कई मैलवेयर खतरों को पिछले कुछ वर्षों में कई हमलों में बनाया और फैलाया गया है।

बिटडेफेंडर के इन्फोसेक शोधकर्ताओं ने BHUNT के रूप में ट्रैक किए गए ऐसे ही खतरे की पहचान की है। उनके निष्कर्षों के अनुसार, BHUNT एक मॉड्यूलर क्रिप्टोवॉलेट स्टीयर है जो .NET सॉफ्टवेयर फ्रेमवर्क में लिखा गया है। जिस तरह से खतरा सबसे अधिक फैला हुआ है, उसमें हथियारयुक्त KMSPico संस्करण शामिल हैं। KMSPico टूल अक्सर उन लोगों द्वारा डाउनलोड किया जाता है जो Microsoft उत्पादों के उचित पंजीकरण को बाधित करना चाहते हैं और इसके बजाय उनकी पूर्ण कार्यक्षमता को अवैध रूप से अनलॉक करना चाहते हैं। नतीजतन, BHUNT कई अलग-अलग महाद्वीपों में फैले कई देशों के उपयोगकर्ताओं को संक्रमित करने में कामयाब रहा है। बिटडेफेंडर की रिपोर्ट के अनुसार, BHUNT के अधिकांश पीड़ित भारत में स्थित हैं, इसके बाद फिलीपींस और ग्रीस हैं।

टेक्निकल डिटेल

BHUNT चुपके और पता लगाने से बचने पर अधिक ध्यान केंद्रित करके खुद को बाकी क्रिप्टोस्टीलर खतरों से अलग करता है। खतरा थेमिडा और वीएमप्रोटेक्ट के साथ पैक और एन्क्रिप्ट किया गया है। दो वर्चुअल मशीन पैकर्स के उपयोग से रिवर्स-इंजीनियरिंग और विश्लेषण करना बहुत कठिन हो जाता है। इसके अलावा, खतरे की निष्पादन योग्य फ़ाइल पर Piriform से संबंधित एक चोरी हुए डिजिटल हस्ताक्षर के साथ हस्ताक्षर किए जाते हैं। हालाँकि, हस्ताक्षर अभी भी एक द्विआधारी बेमेल के कारण अमान्य के रूप में पाया गया है।

BHUNT की आक्रमण श्रृंखला में लक्षित सिस्टम के \Windows\System32\ फ़ोल्डर में रखा गया एक समर्पित ड्रॉपर शामिल है। ड्रॉपर का उद्देश्य BHUNT के मुख्य घटक को 'mscrlib.exe' नाम की फ़ाइल के रूप में परिनियोजित करना है। मुख्य घटक तब अतिरिक्त दुर्भावनापूर्ण मॉड्यूल को निकालने और आरंभ करने के लिए आगे बढ़ता है, प्रत्येक एक विशिष्ट घुसपैठ कार्य के निष्पादन के लिए जिम्मेदार होता है।

मॉड्यूलर व्यवहार

अब तक, पांच अलग-अलग BHUNT मॉड्यूल देखे गए हैं - 'ब्लैकजैक,' 'कैओस_क्रू,' 'गोल्डन7,' 'स्वीट_बोनंजा' और 'mrproper'। 'ब्लैकजैक' मॉड्यूल क्रिप्टो-संबंधित प्रक्रियाओं को निष्पादित करता है। सबसे पहले, यह पीड़ित के क्रिप्टोवॉलेट विवरण प्राप्त करता है, उन्हें बेस 64 का उपयोग करके एन्क्रिप्ट किया जाता है, और फिर उन्हें ऑपरेशन के कमांड-एंड-कंट्रोल (सी 2, सी एंड सी) सर्वर तक पहुंचाता है। यह खतरा Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic, और Jaxx वॉलेट को लक्षित करता है।

'chaos_crew' मॉड्यूल के माध्यम से, हमलावर समझौता किए गए सिस्टम में अतिरिक्त दुर्भावनापूर्ण पेलोड वितरित कर सकते हैं। 'गोल्डन7' मॉड्यूल क्लिपबोर्ड में सहेजे गए पासवर्ड को काटने और फिर उन्हें C2 पर अपलोड करने की क्षमता से लैस है। जहां तक 'स्वीट_बोनंजा' मॉड्यूल का सवाल है, यह डेटा को निकाल सकता है जिसे क्रोम, ओपेरा, सफारी, फायरफॉक्स आदि जैसे कई मुख्यधारा के ब्राउज़र में सहेजा गया है। अंत में, 'mrproper' को BHUNT के निशान से सिस्टम को साफ करने का निर्देश दिया जा सकता है जैसे कि हटाना तर्क फ़ाइलें।

विविध हमले

हालांकि BHUNT स्पष्ट रूप से क्रिप्टोवॉलेट पते को लक्षित कर रहा है, उपयोगकर्ताओं के पासवर्ड या वेब ब्राउज़र में सहेजे गए डेटा को लक्षित करके एक अलग हमले के संचालन में फिट होने के लिए खतरे को आसानी से संशोधित किया जा सकता है। इसके बाद हमलावर बैंकिंग ऐप्स और सोशल मीडिया प्लेटफॉर्म के लिए पीड़ित के अकाउंट पासवर्ड से समझौता कर सकते हैं। वे चोरी की गई जानकारी का दुरुपयोग अपनी पहुंच बढ़ाने, दुर्भावनापूर्ण धमकी फैलाने या अन्य साइबर अपराधियों को जानकारी बेचने के लिए कर सकते हैं।