BHUNT Malware

BHUNT Malware Beskrivning

Högkonjunkturen inom kryptovalutasektorn har fått mycket uppmärksamhet men den kom också med den olyckliga konsekvensen att den också lockade många cyberkriminella. Som ett resultat har flera hot mot skadlig programvara som klassificerats som kryptostöldare skapats och släppts lös i många attacker under de senaste åren.

Infosec-forskarna på Bitdefender har identifierat exakt ett sådant hot som spåras som BHUNT. Enligt deras upptäckter är BHUNT en modulär kryptoplånboksstjälare skriven i .NET-programvaran. Hur hotet sprids involverar sannolikt beväpnade KMSPico-versioner. KMSPico-verktyget laddas ofta ner av personer som vill kringgå korrekt registrering av Microsoft-produkter och istället låsa upp deras fulla funktionalitet olagligt. Som ett resultat har BHUNT lyckats infektera användare från många länder spridda över flera olika kontinenter. Enligt Bitdefenders rapport finns de flesta av BHUNTs offer i Indien, följt av Filippinerna och Grekland.

Tekniska detaljer

BHUNT skiljer sig från resten av cryptostealer-hoten genom att uppvisa ett ökat fokus på smygande och undvikande av upptäckt. Hotet är packat och krypterat med Themida och VMProtect. Användningen av två virtuella maskinpackare gör omvänd konstruktion och genomförande av analyser mycket svårare. Dessutom är den körbara filen för hotet signerad med en stulen digital signatur som tillhör Piriform. Signaturen upptäcks dock fortfarande som ogiltig på grund av en binär oöverensstämmelse.

BHUNT:s attackkedja involverar en dedikerad dropper placerad i mappen \Windows\System32\ i det riktade systemet. Syftet med dropparen är att distribuera BHUNTs huvudkomponent som en fil med namnet 'mscrlib.exe.' Huvudkomponenten fortsätter sedan med att extrahera och initiera de ytterligare skadliga modulerna, som var och en ansvarar för utförandet av en specifik påträngande uppgift.

Modulärt beteende

Hittills har fem olika BHUNT-moduler observerats - 'blackjack', 'chaos_crew', 'golden7', 'Sweet_Bonanza' och 'mrproper.' "Blackjack"-modulen exekverar de kryptorelaterade processerna. Först får den offrets kryptoplånboksdetaljer, krypterade dem med base64 och överför dem sedan till operationens Command-and-Control-servrar (C2, C&C). Hotet riktar sig mot Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic och Jaxx plånböcker.

Via modulen 'chaos_crew' kan angriparna leverera ytterligare skadliga nyttolaster till det komprometterade systemet. 'golden7'-modulen är utrustad med möjligheten att skörda lösenord som sparats i urklipp och sedan ladda upp dem till C2. När det gäller modulen 'Sweet_Bonanza' kan den extrahera data som har sparats i flera vanliga webbläsare som Chrome, Opera, Safari, Firefox, etc. Slutligen kan 'mrproper' instrueras att rensa systemet från BHUNTs spår som att ta bort argumentfiler.

Olika attacker

Även om BHUNT tydligt riktar sig till kryptoplånboksadresser, kan hotet enkelt modifieras för att passa in i en annan attackoperation genom att rikta in sig på användarnas lösenord eller data som sparats i webbläsare. Angriparna kan sedan äventyra offrets kontolösenord för bankappar och sociala medieplattformar. De kan missbruka den stulna informationen för att eskalera sin räckvidd, sprida skadliga hot eller sälja informationen till andra cyberbrottslingar.