Threat Database Malware BHUNT Malware

BHUNT Malware

暗号通貨セクターのブームは多くの主流の注目を集めていますが、それはまた、多くのサイバー犯罪者を引き付けるという不幸な結果をもたらしました。その結果、クリプトスティーラーとして分類された複数のマルウェアの脅威が作成され、過去2年間に多数の攻撃で解き放たれました。

Bitdefenderのinfosec研究者は、BHUNTとして追跡されているそのような脅威を正確に特定しました。彼らの調査結果によると、BHUNTは.NETソフトウェアフレームワークで記述されたモジュラー暗号ウォレットスティーラーです。脅威が広がる方法には、武器化されたKMSPicoバージョンが含まれる可能性があります。 KMSPicoツールは、Microsoft製品の適切な登録を回避し、代わりにすべての機能を違法にロック解除したい人によってダウンロードされることがよくあります。その結果、BHUNTは、いくつかの異なる大陸に広がる多数の国のユーザーに感染することに成功しました。 Bitdefenderのレポートによると、BHUNTの犠牲者のほとんどはインドにおり、フィリピン、ギリシャがそれに続きます。

技術的な詳細

BHUNTは、ステルス性と検出回避に重点を置くことで、他のクリプトスティーラーの脅威とは一線を画しています。脅威はThemidaとVMProtectでパックされ、暗号化されています。 2つの仮想マシンパッカーを使用すると、リバースエンジニアリングと分析の実行が非常に困難になります。さらに、脅威の実行可能ファイルは、Piriformに属する盗まれたデジタル署名で署名されています。ただし、バイナリの不一致が原因で、署名は引き続き無効として検出されます。

BHUNTの攻撃チェーンには、対象システムの\ Windows \ System32 \フォルダーに配置された専用のドロッパーが含まれます。ドロッパーの目的は、BHUNTのメインコンポーネントを「mscrlib.exe」という名前のファイルとして展開することです。次に、メインコンポーネントは、追加の悪意のあるモジュールの抽出と開始に進み、それぞれが特定の侵入タスクの実行を担当します。

モジュール式の動作

これまでに、5つの異なるBHUNTモジュールが観察されています-「ブラックジャック」、「chaos_crew」、「golden7」、「Sweet_Bonanza」、および「mrproper」。 「ブラックジャック」モジュールは、暗号関連のプロセスを実行します。まず、被害者の暗号化ウォレットの詳細を取得し、base64を使用して暗号化してから、操作のコマンドアンドコントロール(C2、C&C)サーバーに送信します。この脅威は、ビットコイン、ライトコイン、イーサリアム、エクソダス、エレクトラム、アトミック、およびジャックスのウォレットを標的としています。

攻撃者は、「chaos_crew」モジュールを介して、侵入先のシステムに追加の悪意のあるペイロードを配信する可能性があります。 'golden7'モジュールには、クリップボードに保存されているパスワードを収集してC2にアップロードする機能が備わっています。 「Sweet_Bonanza」モジュールについては、Chrome、Opera、Safari、Firefoxなどの複数の主流ブラウザに保存されたデータを抽出できます。最後に、「mrproper」は、削除などのBHUNTのトレースからシステムをクリーンアップするように指示できます。引数ファイル。

多様な攻撃

BHUNTは明らかに暗号ウォレットアドレスを標的にしていますが、ユーザーのパスワードやWebブラウザーに保存されているデータを標的にすることで、脅威を簡単に変更して別の攻撃操作に適合させることができます。攻撃者は、バンキングアプリやソーシャルメディアプラットフォームの被害者のアカウントパスワードを侵害する可能性があります。盗まれた情報を悪用して、リーチを拡大したり、悪意のある脅威を広めたり、他のサイバー犯罪者に情報を販売したりする可能性があります。

最も見られました

読み込んでいます...