BHUNT Malware

BHUNT Malware Açıklama

Kripto para sektörünün patlaması, ana akımın büyük ilgisini çekti, ancak aynı zamanda çok sayıda siber suçluyu da çekmenin talihsiz sonucunu da beraberinde getirdi. Sonuç olarak, kripto hırsızları olarak sınıflandırılan çok sayıda kötü amaçlı yazılım tehdidi oluşturuldu ve son birkaç yılda sayısız saldırıda serbest bırakıldı.

Bitdefender'daki bilgi güvenliği araştırmacıları, tam olarak BHUNT olarak izlenen böyle bir tehdidi belirlediler. Bulgularına göre BHUNT, .NET yazılım çerçevesinde yazılmış modüler bir kripto cüzdan hırsızıdır. Tehdidin yayılma şekli büyük olasılıkla silahlı KMSPico sürümlerini içerir. KMSPico aracı genellikle Microsoft ürünlerinin uygun şekilde kaydedilmesini engellemek ve bunun yerine yasa dışı olarak tüm işlevlerinin kilidini açmak isteyen kişiler tarafından indirilir. Sonuç olarak, BHUNT birkaç farklı kıtaya yayılmış çok sayıda ülkeden kullanıcılara bulaşmayı başardı. Bitdefender'ın raporuna göre, BHUNT kurbanlarının çoğu Hindistan'da, ardından Filipinler ve Yunanistan'da bulunuyor.

Teknik detaylar

BHUNT, gizliliğe ve tespitten kaçınmaya daha fazla odaklanarak kendisini diğer kripto hırsızı tehditlerinden ayırır. Tehdit, Themida ve VMProtect ile paketlenir ve şifrelenir. İki sanal makine paketleyicinin kullanılması, tersine mühendislik ve analiz yürütmeyi çok daha zor hale getirir. Ayrıca tehdidin yürütülebilir dosyası Piriform'a ait çalıntı bir dijital imza ile imzalanır. Ancak imza, ikili uyumsuzluk nedeniyle hala geçersiz olarak algılanıyor.

BHUNT'ın saldırı zinciri, hedeflenen sistemin \Windows\System32\ klasörüne yerleştirilmiş özel bir damlalık içerir. Damlalığın amacı, BHUNT'ın ana bileşenini 'mscrlib.exe' adlı bir dosya olarak dağıtmaktır. Ana bileşen daha sonra, her biri belirli bir müdahaleci görevin yürütülmesinden sorumlu olan ek kötü amaçlı modülleri çıkarmaya ve başlatmaya devam eder.

Modüler Davranış

Şimdiye kadar beş farklı BHUNT modülü gözlemlendi - 'blackjack', 'chaos_crew', 'golden7', 'Sweet_Bonanza' ve 'mrproper'. 'Blackjack' modülü kripto ile ilgili işlemleri yürütür. Önce kurbanın kripto cüzdan ayrıntılarını alır, bunları base64 kullanarak şifreler ve ardından bunları operasyonun Komuta ve Kontrol (C2, C&C) sunucularına iletir. Tehdit Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic ve Jaxx cüzdanlarını hedefliyor.

'Chaos_crew' modülü aracılığıyla saldırganlar, güvenliği ihlal edilen sisteme ek kötü amaçlı yükler gönderebilir. 'golden7' modülü, panoya kaydedilen şifreleri toplama ve ardından bunları C2'ye yükleme özelliği ile donatılmıştır. 'Sweet_Bonanza' modülüne gelince, Chrome, Opera, Safari, Firefox vb. gibi birden çok ana tarayıcıya kaydedilmiş verileri çıkarabilir. Son olarak, 'mrproper'a sistemi BHUNT'un silme gibi izlerinden temizlemesi talimatı verilebilir. argüman dosyaları.

Çeşitli Saldırılar

BHUNT açıkça kripto cüzdan adreslerini hedefliyor olsa da, tehdit, kullanıcıların şifrelerini veya web tarayıcılarında kayıtlı verileri hedef alarak farklı bir saldırı işlemine uyacak şekilde kolayca değiştirilebilir. Saldırganlar daha sonra kurbanın bankacılık uygulamaları ve sosyal medya platformları için hesap şifrelerini ele geçirebilir. Erişimlerini artırmak, kötü niyetli tehditler yaymak veya bilgileri diğer siber suçlulara satmak için çalınan bilgileri kötüye kullanabilirler.