Вредоносное ПО BHUNT

Вредоносное ПО BHUNT Описание

Бум криптовалютного сектора привлек большое внимание общественности, но он также привел к печальным последствиям в виде привлечения многочисленных киберпреступников. В результате за последние пару лет в многочисленных атаках было создано множество вредоносных программ, классифицируемых как криптостилеры.

Исследователи информационной безопасности в Bitdefender определили именно такую угрозу, отслеживаемую как BHUNT. Согласно их выводам, BHUNT — это модульный похититель криптокошельков, написанный на платформе программного обеспечения .NET. Способ распространения угрозы, скорее всего, связан с вооруженными версиями KMSPico. Инструмент KMSPico часто загружают люди, которые хотят обойти надлежащую регистрацию продуктов Microsoft и вместо этого незаконно разблокировать их полную функциональность. В результате BHUNT удалось заразить пользователей из многих стран, расположенных на разных континентах. Согласно отчету Bitdefender, большинство жертв BHUNT находятся в Индии, за ней следуют Филиппины и Греция.

Технические детали

BHUNT отличается от остальных угроз для криптокрадов тем, что уделяет повышенное внимание скрытности и предотвращению обнаружения. Угроза упакована и зашифрована с помощью Themida и VMProtect. Использование двух упаковщиков виртуальных машин значительно усложняет обратный инжиниринг и проведение анализа. Кроме того, исполняемый файл угрозы подписан украденной цифровой подписью, принадлежащей Piriform. Однако подпись по-прежнему определяется как недействительная из-за несоответствия двоичного кода.

Цепочка атак BHUNT включает специальный дроппер, помещенный в папку \Windows\System32\ целевой системы. Целью дроппера является развертывание основного компонента BHUNT в виде файла с именем «mscrlib.exe». Затем основной компонент приступает к извлечению и инициированию дополнительных вредоносных модулей, каждый из которых отвечает за выполнение определенной навязчивой задачи.

Модульное поведение

До сих пор наблюдалось пять различных модулей BHUNT: «блэкджек», «chaos_crew», «golden7», «Sweet_Bonanza» и «mrproper». Модуль «блэкджек» выполняет процессы, связанные с криптографией. Сначала он получает данные криптокошелька жертвы, шифрует их с помощью base64, а затем передает на серверы Command-and-Control (C2, C&C) операции. Угроза нацелена на кошельки Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic и Jaxx.

С помощью модуля chaos_crew злоумышленники могут доставлять дополнительные вредоносные данные в скомпрометированную систему. Модуль «golden7» оснащен возможностью собирать пароли, сохраненные в буфере обмена, и затем загружать их в C2. Что касается модуля «Sweet_Bonanza», он может извлекать данные, которые были сохранены в нескольких основных браузерах, таких как Chrome, Opera, Safari, Firefox и т. д. Наконец, «mrproper» можно поручить очистить систему от следов BHUNT, таких как удаление файлы аргументов.

Разнообразные атаки

Хотя BHUNT явно нацелен на адреса криптокошельков, угрозу можно легко изменить, чтобы она соответствовала другой операции атаки, нацелившись на пароли пользователей или данные, сохраненные в веб-браузерах. Затем злоумышленники могут скомпрометировать пароли учетных записей жертвы для банковских приложений и платформ социальных сетей. Они могут злоупотреблять украденной информацией для расширения своего охвата, распространения вредоносных угроз или продажи информации другим киберпреступникам.