BHUNT é o novo ladrão de criptomoedas identificado por pesquisadores. A Bitdefender, responsável pela descoberta, descobriu ainda que o BHUNT tem como alvo uma lista de carteiras e implementa vários recursos de roubo de dados.
As lista de carteiras alvos dessa nova ameaça, inclui: Exodus, Electrum, Atomic, Jaxx, Ethereum, Bitcoin e Litecoin. BHUNT é um ladrão modular escrito em .NET, seus arquivos binários são fortemente criptografados com packers comerciais como Themida e VMProtect.
As amostras identificadas pelos especialistas são assinadas digitalmente com um certificado digital emitido para uma empresa de software, mas a Bitdefender apontou que o certificado digital não corresponde aos binários, aponta o SecurityAffairs.
Amostras identificadas pela Bitdefender
As amostras analisadas pelo Bitdefender usam scripts de configuração criptografados que são baixados de páginas públicas do Pastebin. Os especialistas apontam que o malware se espalha por meio de instaladores de software crackeado e usuários infectados em vários países.
A lista de países com usuários infectados pela ameaça, inclui: Austrália, Egito, Alemanha, Índia, Indonésia, Japão, Malásia, Noruega, Cingapura, África do Sul, Espanha e EUA.
De acordo com a Bitdefender, a técnica utilizada pelo malware para fazer suas vítimas é muito semelhante à forma como o ladrão Redline entrega suas cargas por meio de instaladores de software rachados falsos .”
Cadeia de ataque do BHUNT às carteiras de criptomoedas
A cadeia de ataque começa com a execução de um dropper inicial, que grava em disco binários fortemente criptografados que são usados ??para iniciar o componente principal do BHUNT.
As amostras identificadas parecem ter sido assinadas digitalmente com um certificado digital emitido para uma empresa de software, mas o certificado digital não corresponde aos binários.
O ladrão de criptomoedas possui uma estrutura modular, alguns dos módulos analisados ??pelos pesquisadores são:
blackjack – roubar arquivos da carteira;
chaos-crew – estabelece persistência e baixe cargas adicionais;
golden7 – rouba tokens de conta do Firefox e Chrome, bem como senhas da área de transferência;
Sweet_Bonanza – rouba senhas armazenadas de navegadores suportados (ou seja, Internet Explorer, Firefox, Chrome, Opera e Safari);
mrpropper – exclui artefatos do sistema infectado.
O relatório da Bitdefender aponta que o BHUNT exfiltra informações sobre carteiras e senhas de criptomoedas, esperando obter ganhos financeiros. E que seu código é direto e o método de entrega é semelhante ao do malware de sucesso existente, como o Redline stealer.
A empresa sugere que, para não ser vítima de malwares como esse, você nunca instale aplicativos de fontes não confiáveis e mantenha o seu antivírus atualizado. Além disso, que você nunca desligue seu antivírus, caso ele identifique algo de errado com alguma instalação.
Via: SecurityAffairs
