Threat Database Malware BHUNT Malware

BHUNT Malware

加密貨幣行業的繁榮引起了很多主流關注,但也帶來了吸引眾多網絡犯罪分子的不幸後果。因此,在過去幾年的多次攻擊中,已經創建並釋放了多種被歸類為密碼竊取者的惡意軟件威脅。

Bitdefender 的信息安全研究人員已經確定了這種被追踪為 BHUNT 的威脅。根據他們的發現,BHUNT 是用 .NET 軟件框架編寫的模塊化加密錢包竊取程序。威脅傳播的方式很可能涉及武器化的 KMSPico 版本。 KMSPico 工具通常由希望繞過 Microsoft 產品的正確註冊並非法解鎖其全部功能的人下載。結果,BHUNT 成功感染了來自多個國家/地區的用戶,這些國家分佈在幾個不同的大陸。根據 Bitdefender 的報告,BHUNT 的大多數受害者位於印度,其次是菲律賓和希臘。

技術細節

BHUNT 通過更加註重隱身性和避免檢測,將自己與其他密碼竊取者威脅區分開來。使用 Themida 和 VMProtect 打包和加密威脅。使用兩個虛擬機打包程序使逆向工程和進行分析變得更加困難。此外,威脅的可執行文件使用屬於 Piriform 的被盜數字簽名進行簽名。但是,由於二進制不匹配,簽名仍然被檢測為無效。

BHUNT 的攻擊鏈涉及放置在目標系統的 \Windows\System32\文件夾中的專用 dropper。 dropper 的目的是將 BHUNT 的主要組件部署為名為“mscrlib.exe”的文件。然後,主要組件繼續提取並啟動額外的惡意模塊,每個模塊負責執行特定的侵入性任務。

模塊化行為

到目前為止,已經觀察到五個不同的 BHUNT 模塊——“blackjack”、“chaos_crew”、“golden7”、“Sweet_Bonanza”和“mrproper”。 “二十一點”模塊執行與加密相關的過程。首先,它獲取受害者的加密錢包詳細信息,使用 base64 對其進行加密,然後將它們傳輸到操作的命令和控制(C2、C&C)服務器。該威脅針對比特幣、萊特幣、以太坊、Exodus、Electrum、Atomic 和 Jaxx 錢包。

通過“chaos_crew”模塊,攻擊者可以向受感染的系統提供額外的惡意負載。 'golden7' 模塊能夠收集保存在剪貼板中的密碼,然後將它們上傳到 C2。至於'Sweet_Bonanza'模塊,它可以提取已經保存到Chrome、Opera、Safari、Firefox等多個主流瀏覽器中的數據。最後,'mrproper'可以指令'mrproper'清除系統中BHUNT的痕跡,例如刪除參數文件。

多樣化的攻擊

儘管 BHUNT 明確針對加密錢包地址,但可以通過針對用戶密碼或保存在 Web 瀏覽器中的數據輕鬆修改威脅以適應不同的攻擊操作。然後,攻擊者可以破解受害者用於銀行應用程序和社交媒體平台的帳戶密碼。他們可以濫用被盜信息來擴大影響範圍、傳播惡意威脅或將信息出售給其他網絡犯罪分子。

熱門

最受關注

加載中...