BHUNT Malware

BHUNT Malware Beschrijving

De hausse van de cryptocurrency-sector heeft veel reguliere aandacht gekregen, maar het kwam ook met het ongelukkige gevolg dat het ook tal van cybercriminelen aantrok. Als gevolg hiervan zijn er de afgelopen jaren meerdere malwarebedreigingen die als cryptostealers zijn geclassificeerd, gecreëerd en ontketend in talloze aanvallen.

De infosec-onderzoekers van Bitdefender hebben precies zo'n bedreiging geïdentificeerd als BHUNT. Volgens hun bevindingen is BHUNT een modulaire cryptowallet-stealer geschreven in het .NET-softwareframework. De manier waarop de dreiging wordt verspreid, betreft hoogstwaarschijnlijk bewapende KMSPico-versies. De KMSPico-tool wordt vaak gedownload door mensen die de juiste registratie van Microsoft-producten willen omzeilen en in plaats daarvan hun volledige functionaliteit illegaal willen ontgrendelen. Als gevolg hiervan is BHUNT erin geslaagd gebruikers uit verschillende landen, verspreid over verschillende continenten, te infecteren. Volgens het rapport van Bitdefender bevinden de meeste slachtoffers van BHUNT zich in India, gevolgd door de Filippijnen en Griekenland.

Technische details

BHUNT onderscheidt zich van de rest van de cryptostealer-bedreigingen door een verhoogde focus op stealthiness en detectie te vermijden. De dreiging is verpakt en versleuteld met Themida en VMProtect. Het gebruik van twee virtuele machinepackers maakt reverse-engineering en het uitvoeren van analyses veel moeilijker. Bovendien is het uitvoerbare bestand van de dreiging ondertekend met een gestolen digitale handtekening van Piriform. De handtekening wordt echter nog steeds als ongeldig gedetecteerd vanwege een binaire mismatch.

De aanvalsketen van BHUNT omvat een speciale druppelaar die in de map \Windows\System32\ van het beoogde systeem wordt geplaatst. Het doel van de dropper is om het hoofdonderdeel van BHUNT te implementeren als een bestand met de naam 'mscrlib.exe.' Het hoofdonderdeel gaat dan verder met het extraheren en initiëren van de aanvullende kwaadaardige modules, die elk verantwoordelijk zijn voor de uitvoering van een specifieke opdringerige taak.

Modulair gedrag

Tot nu toe zijn er vijf verschillende BHUNT-modules waargenomen: 'blackjack', 'chaos_crew', 'golden7', 'Sweet_Bonanza' en 'mrproper'. De 'blackjack'-module voert de crypto-gerelateerde processen uit. Eerst verkrijgt het de cryptowallet-gegevens van het slachtoffer, versleutelt ze met base64 en verzendt ze vervolgens naar de Command-and-Control (C2, C&C)-servers van de operatie. De dreiging is gericht op Bitcoin-, Litecoin-, Ethereum-, Exodus-, Electrum-, Atomic- en Jaxx-portefeuilles.

Via de 'chaos_crew'-module kunnen de aanvallers extra kwaadaardige payloads aan het gecompromitteerde systeem leveren. De 'golden7'-module is uitgerust met de mogelijkheid om wachtwoorden die op het klembord zijn opgeslagen, te verzamelen en vervolgens te uploaden naar de C2. Wat betreft de 'Sweet_Bonanza'-module, deze kan gegevens extraheren die zijn opgeslagen in meerdere reguliere browsers zoals Chrome, Opera, Safari, Firefox, enz. Ten slotte kan 'mrproper' worden geïnstrueerd om het systeem te reinigen van de sporen van BHUNT, zoals het verwijderen argument bestanden.

Diverse aanvallen

Hoewel BHUNT zich duidelijk richt op cryptowallet-adressen, kan de dreiging eenvoudig worden aangepast om in een andere aanvalsoperatie te passen door zich te richten op gebruikerswachtwoorden of gegevens die zijn opgeslagen in webbrowsers. De aanvallers kunnen vervolgens de accountwachtwoorden van het slachtoffer compromitteren voor bank-apps en sociale-mediaplatforms. Ze kunnen de gestolen informatie misbruiken om hun bereik te vergroten, kwaadaardige bedreigingen te verspreiden of de informatie aan andere cybercriminelen te verkopen.