BHUNT Malware

BHUNT Malware Përshkrimi

Bumi i sektorit të kriptomonedhave ka tërhequr shumë vëmendjen kryesore, por ai gjithashtu erdhi me pasojën fatkeqe të tërheqjes së shumë kriminelëve kibernetikë. Si rezultat, kërcënime të shumta malware të klasifikuara si vjedhës të kriptove janë krijuar dhe lëshuar në sulme të shumta gjatë dy viteve të fundit.

Studiuesit e infosec në Bitdefender kanë identifikuar pikërisht një kërcënim të tillë të gjurmuar si BHUNT. Sipas gjetjeve të tyre, BHUNT është një vjedhës modular i kriptovaletave i shkruar në kornizën e softuerit .NET. Mënyra se si përhapet kërcënimi ka shumë të ngjarë të përfshijë versionet e armatosura të KMSPico. Vegla KMSPico shpesh shkarkohet nga njerëz që dëshirojnë të anashkalojnë regjistrimin e duhur të produkteve të Microsoft dhe në vend të kësaj të zhbllokojnë funksionalitetin e tyre të plotë në mënyrë të paligjshme. Si rezultat, BHUNT ka arritur të infektojë përdorues nga vende të shumta të përhapur në disa kontinente të ndryshme. Sipas raportit të Bitdefender, shumica e viktimave të BHUNT ndodhen në Indi, e ndjekur nga Filipinet dhe Greqia.

Detaje teknike

BHUNT e veçon veten nga pjesa tjetër e kërcënimeve të vjedhësve të kriptove duke shfaqur një fokus të shtuar në fshehtësinë dhe shmangien e zbulimit. Kërcënimi është i paketuar dhe i koduar me Themida dhe VMProtect. Përdorimi i dy paketuesve të makinave virtuale e bën shumë më të vështirë inxhinierimin e kundërt dhe kryerjen e analizave. Gjithashtu, skedari i ekzekutueshëm i kërcënimit është i nënshkruar me një nënshkrim dixhital të vjedhur që i përket Piriform. Nënshkrimi, megjithatë, ende zbulohet si i pavlefshëm për shkak të një mospërputhje binare.

Zinxhiri i sulmit të BHUNT përfshin një pikatore të dedikuar të vendosur në dosjen \Windows\System32\ të sistemit të synuar. Qëllimi i pikatores është të vendosë komponentin kryesor të BHUNT si një skedar me emrin 'mscrlib.exe.' Komponenti kryesor më pas vazhdon me nxjerrjen dhe inicimin e moduleve shtesë me qëllim të keq, secili përgjegjës për ekzekutimin e një detyre të veçantë ndërhyrëse.

Sjellja modulare

Deri më tani, janë vëzhguar pesë module të ndryshme BHUNT - 'blackjack', 'chaos_crew', 'golden7', 'Sweet_Bonanza' dhe 'mrproper'. Moduli 'blackjack' ekzekuton proceset e lidhura me kripto. Së pari, ai merr të dhënat e kriptovaletit të viktimës, i kodon ato duke përdorur bazën64 dhe më pas i transmeton te serverët Command-and-Control (C2, C&C) të operacionit. Kërcënimi synon kuletat Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic dhe Jaxx.

Nëpërmjet modulit 'chaos_crew', sulmuesit mund të dërgojnë ngarkesa shtesë me qëllim të keq në sistemin e komprometuar. Moduli 'golden7' është i pajisur me aftësinë për të mbledhur fjalëkalimet e ruajtura në kujtesën e fragmenteve dhe për t'i ngarkuar ato në C2. Sa i përket modulit 'Sweet_Bonanza', ai mund të nxjerrë të dhëna që janë ruajtur në shumë shfletues të zakonshëm si Chrome, Opera, Safari, Firefox, etj. Më në fund, 'mrproper' mund të udhëzohet të pastrojë sistemin nga gjurmët e BHUNT, si p.sh. fshirja skedarët e argumenteve.

Sulme të ndryshme

Megjithëse BHUNT po synon qartë adresat e kriptovaleteve, kërcënimi mund të modifikohet lehtësisht për t'u përshtatur në një operacion tjetër sulmi duke synuar fjalëkalimet e përdoruesve ose të dhënat e ruajtura në shfletuesit e internetit. Sulmuesit më pas mund të komprometojnë fjalëkalimet e llogarisë së viktimës për aplikacionet bankare dhe platformat e mediave sociale. Ata mund të abuzojnë me informacionin e vjedhur për të përshkallëzuar shtrirjen e tyre, për të përhapur kërcënime me qëllim të keq ose për t'ua shitur informacionin kriminelëve të tjerë kibernetikë.