BHUNT skadelig programvare

BHUNT skadelig programvare Beskrivelse

Oppblomstringen av kryptovalutasektoren har fått mye oppmerksomhet fra mainstream, men den kom også med den uheldige konsekvensen at den også tiltrekker seg mange nettkriminelle. Som et resultat har flere malware-trusler klassifisert som kryptostjelere blitt opprettet og sluppet løs i en rekke angrep i løpet av de siste par årene.

Infosec-forskerne ved Bitdefender har identifisert nøyaktig en slik trussel sporet som BHUNT. Ifølge funnene deres er BHUNT en modulær kryptowallet-tyver skrevet i .NET-programvarerammeverket. Måten trusselen spres på involverer mest sannsynlig våpeniserte KMSPico-versjoner. KMSPico-verktøyet lastes ofte ned av folk som ønsker å omgå riktig registrering av Microsoft-produkter og i stedet låse opp full funksjonalitet ulovlig. Som et resultat har BHUNT klart å infisere brukere fra en rekke land spredt over flere forskjellige kontinenter. I følge Bitdefenders rapport er de fleste av BHUNTs ofre lokalisert i India, etterfulgt av Filippinene og Hellas.

Tekniske detaljer

BHUNT skiller seg fra resten av cryptostealer-truslene ved å vise et økt fokus på sniking og oppdagelsesunngåelse. Trusselen er pakket og kryptert med Themida og VMProtect. Bruken av to virtuelle maskinpakkere gjør omvendt utvikling og gjennomføring av analyser så mye vanskeligere. I tillegg er den kjørbare filen til trusselen signert med en stjålet digital signatur som tilhører Piriform. Signaturen er imidlertid fortsatt oppdaget som ugyldig på grunn av en binær mismatch.

BHUNTs angrepskjede involverer en dedikert dropper plassert i \Windows\System32\ -mappen til det målrettede systemet. Hensikten med dropperen er å distribuere BHUNTs hovedkomponent som en fil kalt 'mscrlib.exe.' Hovedkomponenten fortsetter deretter med å trekke ut og starte de ytterligere ondsinnede modulene, hver ansvarlig for utførelsen av en spesifikk påtrengende oppgave.

Modulær oppførsel

Så langt har fem forskjellige BHUNT-moduler blitt observert - 'blackjack', 'chaos_crew', 'golden7', 'Sweet_Bonanza' og 'mrproper.' "Blackjack"-modulen utfører de krypto-relaterte prosessene. Først innhenter den offerets kryptowallet-detaljer, krypterte dem ved hjelp av base64, og sender dem deretter til Command-and-Control (C2, C&C)-servere for operasjonen. Trusselen er rettet mot Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic og Jaxx lommebøker.

Via 'chaos_crew'-modulen kan angriperne levere ytterligere skadelige nyttelaster til det kompromitterte systemet. 'golden7'-modulen er utstyrt med muligheten til å høste passord som er lagret i utklippstavlen og deretter laste dem opp til C2. Når det gjelder 'Sweet_Bonanza'-modulen, kan den trekke ut data som er lagret i flere vanlige nettlesere som Chrome, Opera, Safari, Firefox, etc. Til slutt kan 'mrproper' bli bedt om å rense systemet fra BHUNTs spor, for eksempel sletting argumentfiler.

Diverse angrep

Selv om BHUNT tydelig retter seg mot kryptowallet-adresser, kan trusselen enkelt endres for å passe inn i en annen angrepsoperasjon ved å målrette brukernes passord eller data lagret i nettlesere. Angriperne kan deretter kompromittere offerets kontopassord for bankapper og sosiale medieplattformer. De kan misbruke den stjålne informasjonen for å eskalere rekkevidden, spre ondsinnede trusler eller selge informasjonen til andre nettkriminelle.