Zlonamerna programska oprema BHUNT
Razcvet sektorja kriptovalut je pritegnil veliko pozornosti, vendar je imel tudi žalostno posledico, da je pritegnil tudi številne kibernetske kriminalce. Posledično je bilo v zadnjih nekaj letih v številnih napadih ustvarjenih in sproščenih več groženj zlonamerne programske opreme, ki so razvrščene kot kradljivce kriptovalut.
Raziskovalci infosec pri Bitdefenderju so identificirali točno takšno grožnjo, ki ji sledi BHUNT. V skladu z njihovimi ugotovitvami je BHUNT modularni krajilnik kriptovalut, napisan v programskem okviru .NET. Način širjenja grožnje najverjetneje vključuje oborožene različice KMSPico. Orodje KMSPico pogosto prenesejo ljudje, ki želijo zaobiti pravilno registracijo Microsoftovih izdelkov in namesto tega nezakonito odkleniti njihovo celotno funkcionalnost. Posledično je BHUNT uspel okužiti uporabnike iz številnih držav, razširjenih po več različnih celinah. Glede na poročilo Bitdefenderja se večina žrtev BHUNT nahaja v Indiji, sledijo Filipini in Grčija.
Kazalo
Tehnične podrobnosti
BHUNT se loči od ostalih groženj kriptokradljivcev s tem, da se bolj osredotoča na prikritost in izogibanje odkrivanju. Grožnja je pakirana in šifrirana s Themido in VMProtect. Uporaba dveh navideznih strojnih pakirnikov močno otežuje obratni inženiring in izvajanje analize. Poleg tega je izvršljiva datoteka grožnje podpisana z ukradenim digitalnim podpisom, ki pripada Piriformu. Podpis pa je še vedno zaznan kot neveljaven zaradi binarnega neujemanja.
BHUNT-ova napadalna veriga vključuje namensko kapalko, ki je nameščena v mapo \Windows\System32\ ciljnega sistema. Namen kapalke je namestiti glavno komponento BHUNT-a kot datoteko z imenom 'mscrlib.exe.' Glavna komponenta nato nadaljuje z ekstrakcijo in sprožitvijo dodatnih zlonamernih modulov, od katerih je vsak odgovoren za izvedbo določene vsiljive naloge.
Modularno vedenje
Do zdaj je bilo opaženih pet različnih modulov BHUNT - 'blackjack', 'chaos_crew', 'golden7', 'Sweet_Bonanza' in 'mrproper'. Modul 'blackjack' izvaja procese, povezane s kripto. Najprej pridobi podatke o kriptodenarnici žrtve, jih šifrira z uporabo base64 in jih nato posreduje strežnikom za upravljanje in nadzor (C2, C&C) operacije. Grožnja cilja denarnice Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic in Jaxx.
Preko modula 'chaos_crew' lahko napadalci ogroženemu sistemu dostavijo dodatne zlonamerne obremenitve. Modul 'golden7' je opremljen z možnostjo zbiranja gesel, shranjenih v odložišče, in jih nato naložiti v C2. Kar zadeva modul 'Sweet_Bonanza', lahko izvleče podatke, ki so bili shranjeni v več običajnih brskalnikih, kot so Chrome, Opera, Safari, Firefox itd. datoteke argumentov.
Različni napadi
Čeprav BHUNT očitno cilja na naslove kriptovalute, je grožnjo mogoče enostavno spremeniti, da se prilega drugačnemu napadu, tako da cilja na uporabniška gesla ali podatke, shranjene v spletnih brskalnikih. Napadalci lahko nato ogrozijo gesla žrtvinega računa za bančne aplikacije in platforme družbenih medijev. Ukradene informacije lahko zlorabijo za povečanje dosega, širjenje zlonamernih groženj ali prodajo informacij drugim kibernetičnim kriminalcem.
