Malware BHUNT
O boom do setor de criptomoedas atraiu muita atenção do público, mas também veio com a infeliz consequência de também atrair vários cibercriminosos. Como resultado, várias ameaças de malware classificadas como cryptostealers foram criadas e desencadeadas em vários ataques nos últimos dois anos.
Os pesquisadores de infosec da Bitdefender identificaram exatamente uma ameaça rastreada como BHUNT. De acordo com suas descobertas, BHUNT é um ladrão de carteiras de criptomoedas modular escrito na estrutura de software .NET. A forma como a ameaça é espalhada provavelmente envolve versões armadas do KMSPico. A ferramenta KMSPico é frequentemente baixada por pessoas que desejam burlar o registro adequado de produtos da Microsoft e, em vez disso, desbloquear sua funcionalidade completa ilegalmente. Como resultado, o BHUNT conseguiu infectar usuários de vários países espalhados por vários continentes diferentes. De acordo com o relatório da Bitdefender, a maioria das vítimas do BHUNT está localizada na Índia, seguida pelas Filipinas e Grécia.
Índice
Detalhes técnicos
O BHUNT se diferencia do resto das ameaças de criptostealer, exibindo um foco maior na furtividade e na prevenção de detecção. A ameaça é compactada e criptografada com Themida e VMProtect. O uso de dois empacotadores de máquina virtual torna a engenharia reversa e a realização de análises muito mais difíceis. Além disso, o arquivo executável da ameaça é assinado com uma assinatura digital roubada pertencente à Piriform. A assinatura, no entanto, ainda é detectada como inválida devido a uma incompatibilidade binária.
A cadeia de ataque do BHUNT envolve um conta-gotas dedicado colocado na pasta \Windows\System32\ do sistema alvo. O objetivo do dropper é implantar o componente principal do BHUNT como um arquivo chamado 'mscrlib.exe.' O componente principal então extrai e inicia os módulos maliciosos adicionais, cada um responsável pela execução de uma tarefa intrusiva específica.
Comportamento Modular
Até agora, cinco módulos BHUNT diferentes foram observados - 'blackjack', 'chaos_crew', 'golden7', 'Sweet_Bonanza' e 'mrproper'. O módulo 'blackjack' executa os processos relacionados à criptografia. Primeiro, ele obtém os detalhes da carteira de criptomoedas da vítima, os criptografa usando base64 e os transmite para os servidores de Comando e Controle (C2, C&C) da operação. A ameaça tem como alvo as carteiras Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic e Jaxx.
Por meio do módulo 'chaos_crew', os invasores podem entregar cargas maliciosas adicionais ao sistema comprometido. O módulo 'golden7' está equipado com a capacidade de coletar senhas salvas na área de transferência e enviá-las para o C2. Quanto ao módulo 'Sweet_Bonanza', ele pode extrair dados que foram salvos em vários navegadores convencionais, como Chrome, Opera, Safari, Firefox, etc. arquivos de argumentos.
Ataques diversos
Embora o BHUNT esteja claramente visando endereços de carteira de criptomoedas, a ameaça pode ser facilmente modificada para se adequar a uma operação de ataque diferente, visando as senhas dos usuários ou dados salvos em navegadores da web. Os invasores podem comprometer as senhas da conta da vítima para aplicativos bancários e plataformas de mídia social. Eles podem abusar das informações roubadas para aumentar seu alcance, espalhar ameaças maliciosas ou vender as informações para outros cibercriminosos.
