Od czasu wybuchu Bitcoinów, kryptowaluty z roku na rok gwałtownie rosły. Oprócz przyciągnięcia większej liczby inwestycji, zysk ten w coraz większym stopniu motywuje złośliwych cyberprzestępców do opracowywania złośliwego oprogramowania typu „kradzież” specjalizującego się w uzyskiwaniu dostępu do portfeli kryptowalut.
Gdy dostaną się do tych portfeli, mogą swobodnie i nieodwracalnie przenosić środki do portfeli kontrolowanych przez atakującego. W ubiegłym roku analitycy bezpieczeństwa zauważyli wzrost liczby takich złodziei kryptowalut, jak słynny Redline Stealer i WeSteal.
Badacze Bitdefender stale monitorują złodziei portfeli kryptograficznych. W ten sposób zauważyliśmy dropper z ukrytym plikiem, który działał z folderu \Windows\System32\. Dropper zawsze zapisywał na dysku ten sam plik mscrlib.exet. Nasza analiza wykazała, że jest to nowy złodziej kryptowalut, ale jego przebieg realizacji wydaje się inny niż ten, do którego jesteśmy przyzwyczajeni na wolności. Nazwaliśmy złodzieja BHUNT od imienia głównego zgromadzenia. BHUNT to modułowy złodziej napisany w .NET, zdolny do eksfiltracji zawartości portfeli (portfele Exodus, Electrum, Atomic, Jaxx, Ethereum, Bitcoin, Litecoin), haseł przechowywanych w przeglądarce i haseł przechwyconych ze schowka.
W tym artykule opisujemy, jak udało nam się rozpakować pliki wykonywalne użyte w tej kampanii. Przedstawimy przebieg wykonywania złośliwego oprogramowania i przeanalizujemy każdy moduł, aby określić jego możliwości.
Kluczowe wnioski
Badacze Bitdefender odkryli nową rodzinę złośliwego oprogramowania do kradzieży kryptowalut, nazwanego BHUNT
Pliki binarne są mocno zaszyfrowane za pomocą komercyjnych programów pakujących, takich jak Themida i VMProtect.
Zidentyfikowane próbki wydają się być podpisane cyfrowo certyfikatem cyfrowym wydanym firmie produkującej oprogramowanie, ale certyfikat cyfrowy nie jest zgodny z plikami binarnymi.
Komponenty szkodliwego oprogramowania specjalizują się w kradzieży plików portfela (wallet.dat i seed.seco), informacji ze schowka i haseł używanych do odzyskiwania kont.
Szkodnik wykorzystuje zaszyfrowane skrypty konfiguracyjne, które są pobierane z publicznych stron Pastebin.
Inne komponenty specjalizują się w kradzieży haseł, plików cookie i innych poufnych informacji przechowywanych w przeglądarkach Chrome i Firefox.
Złodziej BHUNT wykrada informacje o portfelach kryptowalut i hasłach, mając nadzieję na zysk finansowy. Jego kod jest prosty, a metoda dostarczania jest podobna do istniejącego skutecznego złośliwego oprogramowania, takiego jak złodziej Redline.
Nigdy nie instaluj aplikacji z niezaufanych źródeł
Dbaj o aktualność swojego rozwiązania zabezpieczającego i nigdy go nie wyłączaj, zwłaszcza jeśli blokuje instalację takiego oprogramowania.
Wskaźniki kompromisu
Aktualna i pełna lista wskaźników włamania jest dostępna dla użytkowników Bitdefender Advanced Threat Intelligence. Znane obecnie wskaźniki kompromisu można znaleźć w poniższej białej księdze.