BHUNT Malware

BHUNT Malware Opis

Boom sektora kryptowalut przyciągnął wiele uwagi mainstreamu, ale miał też niefortunną konsekwencję przyciągnięcia wielu cyberprzestępców. W rezultacie w ciągu ostatnich kilku lat w licznych atakach powstało wiele złośliwych programów sklasyfikowanych jako kryptokradzierze.

Badacze infosec w Bitdefender zidentyfikowali dokładnie takie zagrożenie, jak BHUNT. Zgodnie z ich ustaleniami, BHUNT to modułowy złodziej kryptowalut napisany w ramach oprogramowania .NET. Sposób rozprzestrzeniania się zagrożenia najprawdopodobniej dotyczy uzbrojonych wersji KMSPico. Narzędzie KMSPico jest często pobierane przez osoby, które chcą obejść prawidłową rejestrację produktów Microsoft i zamiast tego nielegalnie odblokować ich pełną funkcjonalność. W rezultacie BHUNT zdołał zainfekować użytkowników z wielu krajów na kilku różnych kontynentach. Według raportu Bitdefender, większość ofiar BHUNT znajduje się w Indiach, następnie na Filipinach iw Grecji.

Szczegóły techniczne

BHUNT wyróżnia się na tle pozostałych zagrożeń kryptokradzieży, koncentrując się w większym stopniu na ukrywaniu się i unikaniu wykrycia. Zagrożenie jest spakowane i zaszyfrowane za pomocą Themida i VMProtect. Zastosowanie dwóch pakerów maszyn wirtualnych znacznie utrudnia inżynierię wsteczną i przeprowadzanie analiz. Ponadto plik wykonywalny zagrożenia jest podpisany skradzionym podpisem cyfrowym należącym do Piriform. Sygnatura jest jednak nadal wykrywana jako nieprawidłowa z powodu niezgodności binarnej.

Łańcuch ataków BHUNT obejmuje dedykowany dropper umieszczony w folderze \Windows\System32\ docelowego systemu. Celem droppera jest wdrożenie głównego komponentu BHUNT jako pliku o nazwie „mscrlib.exe”. Główny komponent następnie przystępuje do wyodrębniania i inicjowania dodatkowych złośliwych modułów, z których każdy odpowiada za wykonanie określonego inwazyjnego zadania.

Zachowanie modułowe

Do tej pory zaobserwowano pięć różnych modułów BHUNT — „blackjack”, „chaos_crew”, „gold7”, „Sweet_Bonanza” i „mrproper”. Moduł „blackjack” realizuje procesy związane z kryptowalutami. Najpierw uzyskuje dane dotyczące portfela kryptograficznego ofiary, szyfruje je za pomocą base64, a następnie przesyła je do serwerów Command-and-Control (C2, C&C) operacji. Zagrożenie dotyczy portfeli Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic i Jaxx.

Za pomocą modułu „chaos_crew” osoby atakujące mogą dostarczać dodatkowe złośliwe ładunki do zaatakowanego systemu. Moduł 'golden7' wyposażony jest w możliwość zbierania haseł zapisanych w schowku, a następnie wgrywania ich do C2. Jeśli chodzi o moduł „Sweet_Bonanza”, może on wyodrębniać dane zapisane w wielu popularnych przeglądarkach, takich jak Chrome, Opera, Safari, Firefox itp. Wreszcie, „mrproper” może zostać poinstruowany, aby wyczyścić system ze śladów BHUNT, takich jak usuwanie pliki argumentów.

Zróżnicowane ataki

Chociaż BHUNT wyraźnie atakuje adresy kryptowalut, zagrożenie można łatwo zmodyfikować, aby pasowało do innej operacji ataku, atakując hasła użytkowników lub dane zapisane w przeglądarkach internetowych. Osoby atakujące mogą następnie złamać hasła do kont ofiary w aplikacjach bankowych i platformach mediów społecznościowych. Mogą nadużywać skradzionych informacji, aby zwiększać swój zasięg, rozprzestrzeniać złośliwe zagrożenia lub sprzedawać informacje innym cyberprzestępcom.