BHUNT 악성코드

암호화폐 부문의 붐은 많은 주류의 주목을 받았지만 수많은 사이버 범죄자를 끌어들이는 불행한 결과도 초래했습니다. 그 결과, 크립토스틸러로 분류된 여러 맬웨어 위협이 생성되어 지난 몇 년 동안 수많은 공격이 발생했습니다.

Bitdefender의 infosec 연구원은 BHUNT로 추적되는 위협을 정확히 식별했습니다. 그들의 발견에 따르면 BHUNT는 .NET 소프트웨어 프레임워크로 작성된 모듈식 암호화 지갑 스틸러입니다. 위협이 확산되는 방식에는 무기화된 KMSPico 버전이 포함될 가능성이 큽니다. KMSPico 도구는 Microsoft 제품의 적절한 등록을 우회하고 대신 불법적으로 전체 기능을 잠금 해제하려는 사람들이 다운로드하는 경우가 많습니다. 결과적으로 BHUNT는 여러 대륙에 걸쳐 있는 수많은 국가의 사용자를 감염시키는 데 성공했습니다. Bitdefender의 보고서에 따르면 BHUNT의 희생자 대부분은 인도에 있으며 필리핀, 그리스가 그 뒤를 잇습니다.

기술적 세부 사항

BHUNT는 은폐 및 탐지 회피에 대한 집중도를 높임으로써 나머지 크립토스틸러 위협과 차별화됩니다. 위협은 Midida 및 VMProtect로 압축 및 암호화됩니다. 두 개의 가상 머신 패커를 사용하면 리버스 엔지니어링 및 분석 수행이 훨씬 더 어려워집니다. 또한 위협의 실행 파일은 Piriform 소유의 도난당한 디지털 서명으로 서명됩니다. 그러나 서명은 바이너리 불일치로 인해 여전히 유효하지 않은 것으로 감지됩니다.

BHUNT의 공격 체인에는 대상 시스템 의 \Windows\System32\ 폴더에 배치된 전용 드로퍼가 포함됩니다. 드로퍼의 목적은 BHUNT의 주요 구성 요소를 'mscrlib.exe'라는 파일로 배포하는 것입니다. 그런 다음 주요 구성 요소는 각각 특정 침입 작업의 실행을 담당하는 추가 악성 모듈을 추출하고 시작합니다.

모듈식 동작

지금까지 'blackjack', 'chaos_crew', 'golden7', 'Sweet_Bonanza' 및 'mrproper'의 5가지 다른 BHUNT 모듈이 관찰되었습니다. '블랙잭' 모듈은 암호화 관련 프로세스를 실행합니다. 먼저 피해자의 암호화폐 지갑 정보를 얻어 base64로 암호화한 후 해당 작업의 명령 및 제어(C2, C&C) 서버로 전송합니다. 위협은 Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic 및 Jaxx 지갑을 대상으로 합니다.

공격자는 'chaos_crew' 모듈을 통해 손상된 시스템에 추가 악성 페이로드를 전달할 수 있습니다. 'golden7' 모듈에는 클립보드에 저장된 비밀번호를 모아 C2에 업로드하는 기능이 탑재되어 있습니다. 'Sweet_Bonanza' 모듈의 경우 Chrome, Opera, Safari, Firefox 등과 같은 여러 주류 브라우저에 저장된 데이터를 추출할 수 있습니다. 마지막으로 'mrproper'는 삭제와 같은 BHUNT의 추적에서 시스템을 정리하도록 지시할 수 있습니다. 인수 파일.

다양한 공격

BHUNT는 분명히 크립토월렛 주소를 표적으로 삼고 있지만, 사용자의 비밀번호나 웹 브라우저에 저장된 데이터를 표적으로 삼아 다른 공격 작업에 맞도록 위협을 쉽게 수정할 수 있습니다. 그런 다음 공격자는 뱅킹 앱 및 소셜 미디어 플랫폼에 대한 피해자의 계정 암호를 손상시킬 수 있습니다. 그들은 훔친 정보를 악용하여 도달 범위를 확대하거나, 악의적인 위협을 퍼뜨리거나, 다른 사이버 범죄자에게 정보를 판매할 수 있습니다.