Threat Database Malware BHUNT Malware

BHUNT Malware

Le boom du secteur de la crypto-monnaie a attiré beaucoup d'attention du grand public, mais il a également eu la conséquence malheureuse d'attirer également de nombreux cybercriminels. En conséquence, plusieurs menaces de logiciels malveillants classées comme cryptostealers ont été créées et déclenchées lors de nombreuses attaques au cours des deux dernières années.

Les chercheurs d'infosec de Bitdefender ont identifié exactement une telle menace suivie comme BHUNT. Selon leurs découvertes, BHUNT est un voleur de cryptowallet modulaire écrit dans le framework logiciel .NET. La façon dont la menace se propage implique très probablement des versions militarisées de KMSPico. L'outil KMSPico est souvent téléchargé par des personnes qui souhaitent contourner l'enregistrement correct des produits Microsoft et débloquer illégalement toutes leurs fonctionnalités. En conséquence, BHUNT a réussi à infecter des utilisateurs de nombreux pays répartis sur plusieurs continents différents. Selon le rapport de Bitdefender, la plupart des victimes de BHUNT se trouvent en Inde, suivies des Philippines et de la Grèce.

Détails techniques

BHUNT se distingue du reste des menaces de cryptostealer en mettant davantage l'accent sur la furtivité et l'évitement de la détection. La menace est emballée et cryptée avec Themida et VMProtect. L'utilisation de deux packers de machines virtuelles rend la rétro-ingénierie et la réalisation d'analyses beaucoup plus difficiles. De plus, le fichier exécutable de la menace est signé avec une signature numérique volée appartenant à Piriform. La signature, cependant, est toujours détectée comme non valide en raison d'une non-concordance binaire.

La chaîne d'attaque de BHUNT implique un dropper dédié placé dans le dossier \Windows\System32\ du système ciblé. Le but du compte-gouttes est de déployer le composant principal de BHUNT sous la forme d'un fichier nommé "mscrlib.exe". Le composant principal procède ensuite à l'extraction et à l'initialisation des modules malveillants supplémentaires, chacun responsable de l'exécution d'une tâche intrusive spécifique.

Comportement modulaire

Jusqu'à présent, cinq modules BHUNT différents ont été observés : "blackjack", "chaos_crew", "golden7", "Sweet_Bonanza" et "mrproper". Le module 'blackjack' exécute les processus liés à la cryptographie. Tout d'abord, il obtient les détails du cryptowallet de la victime, les chiffre à l'aide de base64, puis les transmet aux serveurs de commande et de contrôle (C2, C&C) de l'opération. La menace cible les portefeuilles Bitcoin, Litecoin, Ethereum, Exodus, Electrum, Atomic et Jaxx.

Via le module 'chaos_crew', les attaquants peuvent fournir des charges utiles malveillantes supplémentaires au système compromis. Le module 'golden7' est équipé de la possibilité de récolter les mots de passe enregistrés dans le presse-papiers, puis de les télécharger sur le C2. Quant au module 'Sweet_Bonanza', il peut extraire des données qui ont été enregistrées dans plusieurs navigateurs grand public tels que Chrome, Opera, Safari, Firefox, etc. Enfin, 'mrproper' peut être chargé de nettoyer le système des traces de BHUNT telles que la suppression fichiers d'arguments.

Attaques diverses

Bien que BHUNT cible clairement les adresses de portefeuilles cryptographiques, la menace peut être facilement modifiée pour s'adapter à une opération d'attaque différente en ciblant les mots de passe des utilisateurs ou les données enregistrées dans les navigateurs Web. Les attaquants peuvent ensuite compromettre les mots de passe du compte de la victime pour les applications bancaires et les plateformes de médias sociaux. Ils peuvent abuser des informations volées pour augmenter leur portée, propager des menaces malveillantes ou vendre les informations à d'autres cybercriminels.

Chargement...