Threat Database Malware BHUNT Malware

BHUNT Malware

El auge del sector de las criptomonedas ha atraído mucha atención general, pero también tuvo la desafortunada consecuencia de atraer también a numerosos ciberdelincuentes. Como resultado, se han creado múltiples amenazas de malware clasificadas como cryptostealers y se han desatado en numerosos ataques en los últimos años.

Los investigadores de seguridad de la información de Bitdefender han identificado exactamente una amenaza rastreada como BHUNT. Según sus hallazgos, BHUNT es un ladrón de criptobilleteras modular escrito en el marco de software .NET. La forma en que se propaga la amenaza probablemente involucre versiones armadas de KMSPico. La herramienta KMSPico a menudo es descargada por personas que desean eludir el registro adecuado de los productos de Microsoft y, en su lugar, desbloquear su funcionalidad completa de manera ilegal. Como resultado, BHUNT ha logrado infectar a usuarios de numerosos países repartidos por varios continentes diferentes. Según el informe de Bitdefender, la mayoría de las víctimas de BHUNT se encuentran en India, seguida de Filipinas y Grecia.

Detalles técnicos

BHUNT se distingue del resto de las amenazas de los ladrones de criptomonedas al exhibir un mayor enfoque en el sigilo y la evitación de la detección. La amenaza está empaquetada y encriptada con Themida y VMProtect. El uso de dos empaquetadores de máquinas virtuales hace que la ingeniería inversa y la realización de análisis sean mucho más difíciles. Además, el archivo ejecutable de la amenaza está firmado con una firma digital robada perteneciente a Piriform. Sin embargo, la firma todavía se detecta como no válida debido a una discrepancia binaria.

La cadena de ataque de BHUNT involucra un cuentagotas dedicado ubicado en la carpeta \Windows\System32\ del sistema de destino. El propósito del cuentagotas es implementar el componente principal de BHUNT como un archivo llamado 'mscrlib.exe'. Luego, el componente principal procede a extraer e iniciar los módulos maliciosos adicionales, cada uno responsable de la ejecución de una tarea intrusiva específica.

Comportamiento modular

Hasta ahora, se han observado cinco módulos BHUNT diferentes: 'blackjack', 'chaos_crew', 'golden7', 'Sweet_Bonanza' y 'mrproper'. El módulo 'blackjack' ejecuta los procesos relacionados con la criptografía. Primero, obtiene los detalles de la billetera criptográfica de la víctima, los encripta usando base64 y luego los transmite a los servidores de Comando y Control (C2, C&C) de la operación. La amenaza apunta a las billeteras Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic y Jaxx.

A través del módulo 'chaos_crew', los atacantes pueden entregar cargas útiles maliciosas adicionales al sistema comprometido. El módulo 'golden7' está equipado con la capacidad de recopilar contraseñas guardadas en el portapapeles y luego cargarlas en el C2. En cuanto al módulo 'Sweet_Bonanza', puede extraer datos que se han guardado en múltiples navegadores principales como Chrome, Opera, Safari, Firefox, etc. Finalmente, se puede indicar a 'mrproper' que limpie el sistema de los rastros de BHUNT, como eliminar archivos de argumentos

Ataques Diversos

Aunque BHUNT está claramente dirigido a direcciones de criptobilleteras, la amenaza puede modificarse fácilmente para encajar en una operación de ataque diferente al apuntar a las contraseñas de los usuarios o los datos guardados en los navegadores web. Luego, los atacantes pueden comprometer las contraseñas de la cuenta de la víctima para aplicaciones bancarias y plataformas de redes sociales. Pueden abusar de la información robada para ampliar su alcance, difundir amenazas maliciosas o vender la información a otros ciberdelincuentes.

Tendencias

Mas Visto

Cargando...