Новое модульное вредоносное ПО для кражи крипто-кошелька под названием «BHUNT» было обнаружено для содержимого криптовалютного кошелька, паролей и секретных фраз.
Это еще один криптостилер, добавленный в большую кучу вредоносных программ, нацеленных на цифровую валюту, но он заслуживает особого внимания из-за его скрытности.
Вектор заражения
Обнаружение и анализ новой вредоносной программы BHUNT были проведены компанией Bitdefender, которая перед публикацией поделилась своими выводами с Bleeping Computer.
Чтобы избежать обнаружения и срабатывания предупреждений безопасности, BHUNT упакован и сильно зашифрован с помощью Themida и VMProtect, двух упаковщиков виртуальных машин, которые препятствуют обратному проектированию и анализу исследователями.
Злоумышленники подписали исполняемый файл вредоносного ПО цифровой подписью, украденной у Piriform, создателей CCleaner. Однако, поскольку разработчики вредоносных программ скопировали его из несвязанного исполняемого файла, он помечен как недопустимый из-за несоответствия двоичного кода.
Bitdefender обнаружил, что BHUNT внедряется в explorer.exe и, вероятно, доставляется в скомпрометированную систему через загрузку KMSpico, популярной утилиты для незаконной активации продуктов Microsoft.
KMS (службы управления ключами) — это система активации лицензий Microsoft, которую пираты программного обеспечения часто используют для активации продуктов Windows и Office.
BleepingComputer недавно сообщил об аналогичном случае, когда вредоносные активаторы KMSPico сбрасывали похитители криптовалютных кошельков в пиратские системы.
Эта вредоносная программа была обнаружена по всему миру, при этом наибольшая концентрация зараженных пользователей приходится на Индию.
БХУНТ модули
Основным компонентом BHUNT является «mscrlib.exe», который извлекает дополнительные модули, которые запускаются в зараженной системе для выполнения различных вредоносных действий.
Каждый модуль предназначен для определенной цели: от кражи криптовалютных кошельков до кражи паролей. Используя модульный подход, злоумышленники могут настраивать BHUNT для различных кампаний или легко добавлять новые функции.
Текущие модули, включенные в исполняемый файл BHUNT «mscrlib.exe», описаны ниже:
- блэкджек — крадет содержимое файла кошелька, кодирует его с помощью базы 64 и загружает на сервер C2.
- хаос_crew — загружает полезные нагрузки
- Golden7 — крадет пароли из буфера обмена и загружает файлы на сервер C2
- Sweet_Bonanza — крадет информацию из браузеров (Chrome, IE, Firefox, Opera, Safari)
- mrpropper — очищает следы (файлы аргументов)
Целевыми кошельками являются Exodus, Electrum, Atomic, Jaxx, Ethereum, Bitcoin и Litecoin.
Как видно из приведенного ниже фрагмента кода, модуль блэкджека используется для поиска и кражи криптовалютных кошельков на устройстве пользователя и отправки их на удаленный сервер, находящийся под контролем злоумышленника.
Получив доступ к исходному коду или файлу конфигурации кошелька, злоумышленник может использовать его для импорта кошелька на свои устройства и кражи содержащейся в нем криптовалюты.
Хотя внимание BHUNT явно связано с финансами, его возможности по краже информации могут позволить его операторам собирать гораздо больше, чем просто данные криптокошельков.
«Хотя вредоносное ПО в первую очередь фокусируется на краже информации, связанной с криптовалютными кошельками, оно также может собирать пароли и файлы cookie, хранящиеся в кэшах браузеров», — поясняется в отчете Bitdefender .
«Это может включать пароли учетных записей для социальных сетей, банковских операций и т. д., что может даже привести к захвату онлайн-идентификации».
Чтобы избежать заражения BHUNT, вам следует просто избегать загрузки пиратского программного обеспечения, кряков и нелегальных активаторов продуктов.
Как было неоднократно доказано , прогнозируемая экономия финансовых средств от использования пиратского ПО ничтожна по сравнению с тем ущербом, который оно может нанести зараженным системам.
Последнее обновление 05.01.2023
