BHUNT Malware
Der Boom des Kryptowährungssektors hat viel Aufmerksamkeit im Mainstream erregt, hatte aber auch die unglückliche Folge, dass er auch zahlreiche Cyberkriminelle anzog. Infolgedessen wurden in den letzten Jahren mehrere als Kryptostealer eingestufte Malware-Bedrohungen erstellt und in zahlreichen Angriffen entfesselt.
Die Infosec-Forscher von Bitdefender haben genau eine solche Bedrohung identifiziert, die als BHUNT verfolgt wird. Ihren Erkenntnissen zufolge ist BHUNT ein modularer Kryptowallet-Stealer, der im .NET-Software-Framework geschrieben wurde. Die Art und Weise, wie die Bedrohung verbreitet wird, betrifft höchstwahrscheinlich bewaffnete KMSPico-Versionen. Das KMSPico-Tool wird häufig von Personen heruntergeladen, die die ordnungsgemäße Registrierung von Microsoft-Produkten umgehen und stattdessen deren volle Funktionalität illegal freischalten möchten. Infolgedessen ist es BHUNT gelungen, Benutzer aus zahlreichen Ländern zu infizieren, die über mehrere Kontinente verteilt sind. Laut dem Bericht von Bitdefender befinden sich die meisten Opfer von BHUNT in Indien, gefolgt von den Philippinen und Griechenland.
Inhaltsverzeichnis
Technische Details
BHUNT hebt sich von den übrigen Kryptostealer-Bedrohungen ab, indem es einen verstärkten Fokus auf Heimlichkeit und Erkennungsvermeidung legt. Die Bedrohung wird mit Themida und VMProtect gepackt und verschlüsselt. Die Verwendung von zwei Packprogrammen für virtuelle Maschinen erschwert das Reverse Engineering und die Durchführung von Analysen erheblich. Darüber hinaus ist die ausführbare Datei der Bedrohung mit einer gestohlenen digitalen Signatur signiert, die Piriform gehört. Die Signatur wird jedoch aufgrund einer binären Nichtübereinstimmung immer noch als ungültig erkannt.
Die Angriffskette von BHUNT umfasst einen dedizierten Dropper, der im Ordner \Windows\System32\ des Zielsystems abgelegt wird. Der Zweck des Droppers besteht darin, die Hauptkomponente von BHUNT als Datei mit dem Namen „mscrlib.exe“ bereitzustellen. Die Hauptkomponente fährt dann damit fort, die zusätzlichen schädlichen Module zu extrahieren und zu initiieren, die jeweils für die Ausführung einer bestimmten aufdringlichen Aufgabe verantwortlich sind.
Modulares Verhalten
Bisher wurden fünf verschiedene BHUNT-Module beobachtet – „blackjack“, „chaos_crew“, „golden7“, „Sweet_Bonanza“ und „mrproper“. Das „Blackjack“-Modul führt die kryptobezogenen Prozesse aus. Zuerst erhält es die Kryptowallet-Details des Opfers, verschlüsselt sie mit base64 und überträgt sie dann an die Command-and-Control-Server (C2, C&C) der Operation. Die Bedrohung zielt auf Bitcoin-, Litecoin-, Ethereum-, Exodus-, Electrum-, Atomic- und Jaxx-Wallets ab.
Über das Modul „chaos_crew“ können die Angreifer zusätzliche bösartige Payloads an das kompromittierte System liefern. Das 'golden7'-Modul ist mit der Fähigkeit ausgestattet, in der Zwischenablage gespeicherte Passwörter zu sammeln und sie dann auf den C2 hochzuladen. Das Modul „Sweet_Bonanza“ kann Daten extrahieren, die in mehreren Mainstream-Browsern wie Chrome, Opera, Safari, Firefox usw. gespeichert wurden. Schließlich kann „mrproper“ angewiesen werden, das System von BHUNT Spuren zu bereinigen, wie z.B. Argumentdateien zu löschen.
Diverse Angriffe
Obwohl BHUNT eindeutig auf Cryptowallet-Adressen abzielt, kann die Bedrohung leicht modifiziert werden, um in eine andere Angriffsoperation zu passen, indem sie auf Benutzerkennwörter oder in Webbrowsern gespeicherte Daten abzielt. Die Angreifer können dann die Kontopasswörter des Opfers für Banking-Apps und Social-Media-Plattformen kompromittieren. Sie können die gestohlenen Informationen missbrauchen, um ihre Reichweite zu vergrößern, böswillige Bedrohungen zu verbreiten oder die Informationen an andere Cyberkriminelle zu verkaufen.
