BHUNT Malware

BHUNT Malware说明

加密货币行业的繁荣引起了很多主流关注,但它也带来了吸引众多网络犯罪分子的不幸后果。因此,在过去几年的多次攻击中,已经创建并释放了多种被归类为密码窃取者的恶意软件威胁。

Bitdefender 的信息安全研究人员已经确定了这种被追踪为 BHUNT 的威胁。根据他们的发现,BHUNT 是用 .NET 软件框架编写的模块化加密钱包窃取程序。威胁传播的方式很可能涉及武器化的 KMSPico 版本。 KMSPico 工具通常由希望绕过 Microsoft 产品的正确注册并非法解锁其全部功能的人下载。结果,BHUNT 成功感染了来自多个国家/地区的用户,这些国家分布在几个不同的大陆。根据 Bitdefender 的报告,BHUNT 的大多数受害者位于印度,其次是菲律宾和希腊。

技术细节

BHUNT 通过更加注重隐身性和避免检测,将自己与其他密码窃取者威胁区分开来。使用 Themida 和 VMProtect 打包和加密威胁。使用两个虚拟机打包程序使逆向工程和进行分析变得更加困难。此外,威胁的可执行文件使用属于 Piriform 的被盗数字签名进行签名。但是,由于二进制不匹配,签名仍然被检测为无效。

BHUNT 的攻击链涉及放置在目标系统的 \Windows\System32\文件夹中的专用 dropper。 dropper 的目的是将 BHUNT 的主要组件部署为名为“mscrlib.exe”的文件。然后,主要组件继续提取并启动额外的恶意模块,每个模块负责执行特定的侵入性任务。

模块化行为

到目前为止,已经观察到五个不同的 BHUNT 模块——“blackjack”、“chaos_crew”、“golden7”、“Sweet_Bonanza”和“mrproper”。 “二十一点”模块执行与加密相关的过程。首先,它获取受害者的加密钱包详细信息,使用 base64 对其进行加密,然后将它们传输到操作的命令与控制(C2、C&C)服务器。该威胁针对比特币、莱特币、以太坊、Exodus、Electrum、Atomic 和 Jaxx 钱包。

通过“chaos_crew”模块,攻击者可以向受感染的系统提供额外的恶意负载。 'golden7' 模块能够收集保存在剪贴板中的密码,然后将它们上传到 C2。至于'Sweet_Bonanza'模块,它可以提取已经保存到Chrome、Opera、Safari、Firefox等多个主流浏览器中的数据。最后,'mrproper'可以指令'mrproper'清除系统中BHUNT的痕迹,例如删除参数文件。

多样化的攻击

尽管 BHUNT 明确针对加密钱包地址,但可以通过针对用户密码或保存在 Web 浏览器中的数据轻松修改威胁以适应不同的攻击操作。然后,攻击者可以破解受害者用于银行应用程序和社交媒体平台的帐户密码。他们可以滥用被盗信息来扩大影响范围、传播恶意威胁或将信息出售给其他网络犯罪分子。