BHUNT Malware

BHUNT Malware Descrizione

Il boom del settore delle criptovalute ha attirato molta attenzione nel mainstream, ma ha anche avuto la sfortunata conseguenza di attirare anche numerosi criminali informatici. Di conseguenza, negli ultimi due anni sono state create numerose minacce malware classificate come cryptostealer e scatenate in numerosi attacchi.

I ricercatori di infosec di Bitdefender hanno identificato esattamente una tale minaccia tracciata come BHUNT. Secondo le loro scoperte, BHUNT è un ladro di criptovalute modulare scritto nel framework del software .NET. Il modo in cui la minaccia viene diffusa molto probabilmente riguarda le versioni armate di KMSPico. Lo strumento KMSPico viene spesso scaricato da persone che desiderano eludere la corretta registrazione dei prodotti Microsoft e sbloccare invece la loro piena funzionalità illegalmente. Di conseguenza, BHUNT è riuscita a infettare utenti di numerosi paesi sparsi in diversi continenti. Secondo il rapporto di Bitdefender, la maggior parte delle vittime di BHUNT si trova in India, seguita dalle Filippine e dalla Grecia.

Dettagli tecnici

BHUNT si distingue dal resto delle minacce dei cryptostealer mostrando una maggiore attenzione alla furtività e all'elusione del rilevamento. La minaccia è imballata e crittografata con Themida e VMProtect. L'uso di due packer di macchine virtuali rende molto più difficile il reverse engineering e la conduzione dell'analisi. Inoltre, il file eseguibile della minaccia è firmato con una firma digitale rubata appartenente a Piriform. La firma, tuttavia, viene ancora rilevata come non valida a causa di una mancata corrispondenza binaria.

La catena di attacco di BHUNT coinvolge un contagocce dedicato posizionato nella cartella \Windows\System32\ del sistema di destinazione. Lo scopo del contagocce è distribuire il componente principale di BHUNT come un file chiamato 'mscrlib.exe.' Il componente principale procede quindi all'estrazione e all'avvio dei moduli dannosi aggiuntivi, ciascuno responsabile dell'esecuzione di una specifica attività intrusiva.

Comportamento modulare

Finora sono stati osservati cinque diversi moduli BHUNT: "blackjack", "chaos_crew", "golden7", "Sweet_Bonanza" e "mrproper". Il modulo "blackjack" esegue i processi relativi alla crittografia. In primo luogo, ottiene i dettagli del criptowallet della vittima, li crittografa utilizzando base64 e quindi li trasmette ai server Command-and-Control (C2, C&C) dell'operazione. La minaccia prende di mira i wallet Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic e Jaxx.

Tramite il modulo "chaos_crew", gli aggressori possono fornire ulteriori payload dannosi al sistema compromesso. Il modulo 'golden7' è dotato della possibilità di raccogliere le password salvate negli appunti e quindi caricarle su C2. Per quanto riguarda il modulo "Sweet_Bonanza", può estrarre i dati che sono stati salvati in più browser tradizionali come Chrome, Opera, Safari, Firefox, ecc. Infine, "mrproper" può essere istruito per pulire il sistema dalle tracce di BHUNT come l'eliminazione file di argomenti.

Attacchi vari

Sebbene BHUNT stia chiaramente prendendo di mira gli indirizzi di criptovalute, la minaccia può essere facilmente modificata per adattarsi a una diversa operazione di attacco prendendo di mira le password degli utenti o i dati salvati nei browser web. Gli aggressori possono quindi compromettere le password dell'account della vittima per le app bancarie e le piattaforme di social media. Possono abusare delle informazioni rubate per aumentare la loro portata, diffondere minacce dannose o vendere le informazioni ad altri criminali informatici.