Ερευνητές ασφαλείας ανακάλυψαν ένα νέο crypto-wallet stealing malware με την ονομασία “BHUNT” που στοχεύει το περιεχόμενο, τα passwords και τις φράσεις ασφαλείας των crypto wallets των χρηστών.
Η ανακάλυψη και η ανάλυση του νέου κακόβουλου λογισμικού BHUNT προέρχονται από την Bitdefender, η οποία μοιράστηκε τα ευρήματά της με το Bleeping Computer.
Δείτε επίσης: Ερυθρός Σταυρός hack: Παραβίαση δεδομένων 515.000 ευάλωτων ανθρώπων
Σύμφωνα με τους ερευνητές, το BHUNT προσπαθεί να αποφύγει τον εντοπισμό και την ενεργοποίηση προειδοποιήσεων ασφαλείας, και γι’ αυτό το λόγο εμφανίζεται packed και encrypted, χρησιμοποιώντας τα Themida και VMProtect, δύο virtual machine packers που εμποδίζουν το reverse-engineering και την ανάλυση από ερευνητές.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/387427/neo-bhunt-malware-klevei-crypto-wallets-passwords/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/https://www.secnews.gr/wp-content/uploads/2022/01/Malware-min-1.jpg&description=Ερευνητές ανακάλυψαν ένα malware με το όνομα "BHUNT" που στοχεύει το περιεχόμενο, τα passwords και τις φράσεις ασφαλείας των crypto wallets){kind=link}
Η Bitdefender ανακάλυψε ότι το BHUNT malware που στοχεύει crypto wallets, γίνεται injected στο explorer.exe και πιθανότατα παραδίδεται στο παραβιασμένο σύστημα μέσω λήψεων του KMSpico, ενός δημοφιλούς βοηθητικού προγράμματος για την παράνομη ενεργοποίηση προϊόντων της Microsoft.
Δείτε επίσης: Odyssey και Check Point προσφέρουν ένα ενοποιημένο οικοσύστημα πρόληψης κυβερνοαπειλών
Αυτό το κακόβουλο λογισμικό έχει εντοπιστεί παγκοσμίως, με τη μεγαλύτερη συγκέντρωση μολυσμένων χρηστών να βρίσκονται στην Ινδία.
BHUNT modules
Το κύριο component του BHUNT malware είναι το ‘mscrlib.exe‘, το οποίο εξάγει περαιτέρω modules που ξεκινούν σε ένα μολυσμένο σύστημα για την εκτέλεση διαφορετικών κακόβουλων δραστηριοτήτων.
Σύμφωνα με την ανάλυση των ερευνητών, κάθε module έχει σχεδιαστεί για συγκεκριμένο σκοπό: κλοπή crypto wallet, κλοπή passwords κλπ. Χρησιμοποιώντας μια modular προσέγγιση, οι χειριστές του malware μπορούν να προσαρμόσουν το BHUNT για την πραγματοποίηση διαφορετικών επιθέσεων, ενώ μπορούν να προσθέσουν και νέες δυνατότητες.
Τα modules που περιλαμβάνονται τώρα στο εκτελέσιμο αρχείο ‘mscrlib.exe’ του BHUNT περιγράφονται εδώ:
- blackjack: κλέβει τα περιεχόμενα του wallet file, τα κωδικοποιεί με τη base 64 και τα ανεβάζει στον C2 server
- chaos_crew: κατεβάζει πρόσθετα κακόβουλα payloads
- golden7: κλέβει κωδικούς πρόσβασης από το clipboard και ανεβάζει τα αρχεία στον C2 server
- Sweet_Bonanza: κλέβει πληροφορίες από προγράμματα περιήγησης (Chrome, IE, Firefox, Opera, Safari)
- mrpropper: καθαρίζει ίχνη μόλυνσης
Τα crypto wallets που στοχεύει το BHUNT malware είναι τα Exodus, Electrum, Atomic, Jaxx, Ethereum, Bitcoin και Litecoin.
Δείτε επίσης: ΗΠΑ 2021: Χιλιάδες κυβερνήσεις, σχολεία και πάροχοι υγειονομικής περίθαλψης επλήγησαν από ransomware
Όπως είπαμε και παραπάνω, το module blackjack χρησιμοποιείται για την αναζήτηση και την κλοπή crypto wallets στη συσκευή ενός χρήστη και την αποστολή τους σε έναν απομακρυσμένο διακομιστή υπό τον έλεγχο του εισβολέα.
Μόλις οι επιτιθέμενοι αποκτήσουν πρόσβαση στο seed phrase ή το configuration file του πορτοφολιού, μπορούν να το χρησιμοποιήσουν για να εισάγουν το πορτοφόλι στις δικές του συσκευές και να κλέψουν τα cryptocurrencies που περιέχει.
“Ενώ το κακόβουλο λογισμικό εστιάζει κυρίως στην κλοπή πληροφοριών που σχετίζονται με crypto wallets, μπορεί επίσης να συλλέξει passwords και cookies που είναι αποθηκευμένα στο cache του προγράμματος περιήγησης“, εξηγεί η αναφορά της Bitdefender.
Το BHUNT malware μπορεί να συλλέξει κωδικούς πρόσβασης για social media accounts, τραπεζικούς λογαριασμούς κ.λπ.
Για να αποφύγετε τη μόλυνση από το BHUNT, θα πρέπει απλώς να αποφύγετε τη λήψη πειρατικού λογισμικού και άλλων παράνομων εργαλείων.
Πηγή: Bleeping Computer