Nuevo BHUNT Stealer apunta a billeteras de criptomonedas

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Bitdefender descubrió un nuevo ladrón de criptomonedas evasivo llamado BHUNT que es capaz de filtrar contenido de billeteras (carteras Exodus, Electrum, Atomic, Jaxx, Ethereum, Bitcoin, Litecoin), contraseñas almacenadas en el navegador y datos del portapapeles.

BHUNT es un ladrón modular escrito en .NET, sus archivos binarios están fuertemente encriptados con empaquetadores comerciales como Themida y VMProtect. Las muestras identificadas por los expertos están firmadas digitalmente con un certificado digital emitido a una empresa de software, pero Bitdefender señaló que el certificado digital no coincide con los binarios.

Las muestras analizadas por Bitdefender utilizan scripts de configuración encriptados que se descargan de las páginas públicas de Pastebin. Según los expertos, el malware se propaga a través de instaladores de software pirateados y usuarios infectados en varios países, incluidos Australia, Egipto, Alemania, India, Indonesia, Japón, Malasia, Noruega, Singapur, Sudáfrica, España y EE. UU.

"Notamos en nuestra telemetría que el proceso del cuentagotas inicial (msh.exebDQGbmsn.exe ZDVODXQFKHGIURPbexplorer.
exebWKDWFRQWDLQVLQMHFWHGFRGH 0RVWLQIHFWHGXVHUVDOVRKDGVRPHIRUPRIFUDFNIRU:LQGRZV .06 RQWKHLU sistemas."

"No pudimos capturar ningún instalador para esas grietas, pero sospechamos que entregaron el cuentagotas para el ladrón de criptomonedas. Esta técnica es muy similar a cómo el ladrón de Redline entrega sus cargas útiles a través de falsos instaladores de software crackeados."

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"La cadena de ataque comienza con la ejecución de un cuentagotas inicial, que escribe en el disco archivos binarios fuertemente cifrados que luego se utilizan para iniciar el componente principal de BHUNT."

"Las muestras identificadas parecen haber sido firmadas digitalmente con un certificado digital emitido a una empresa de software, pero el certificado digital no coincide con los archivos binarios."

El ladrón de criptomonedas tiene una estructura modular, algunos de los módulos analizados por los investigadores son:

    blackjack: robar archivos de billetera
    Chaos-crew: establezca la persistencia y descargue cargas útiles adicionales
    golden7: roba tokens de cuenta de Firefox y Chrome, así como contraseñas del portapapeles
    Sweet_Bonanza: roba contraseñas almacenadas de navegadores compatibles (es decir, Internet Explorer, Firefox, Chrome, Opera y Safari)
    mrpropper: elimina artefactos del sistema infectado

"El ladrón de BHUNT extrae información sobre billeteras y contraseñas de criptomonedas, con la esperanza de obtener ganancias financieras". concluye el informe que también incluye Indicadores de Compromiso (IoCs). "Su código es sencillo y el método de entrega es similar al del malware exitoso existente, como el ladrón Redline."

Fuente:

Bitdefender Blog
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Vía:
SecurityAffairs
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta