Od dob boomu bitcoinu hodnota kryptoměn rok od roku prudce stoupá. Kromě toho, že tento nárůst přitahuje další investice, také stále více motivuje záškodníky k vývoji zlodějského malwaru, specializovaného na získávání přístupu do peněženek s kryptoměnami. Jakmile se do těchto peněženek dostanou, mohou volně a nevratně převádět finanční prostředky do peněženek ovládaných útočníkem. V uplynulém roce zaznamenali bezpečnostní experti prudký nárůst takovýchto kryptoměnových zlodějů, jako je například známý Redline Stealer a WeSteal.
Bezpečnostní experti společnosti Bitdefender neustále monitorují krádeže kryptopeněženek. Takto jsme zaznamenali dropper se skrytým souborem, který se spouštěl ze složky \Windows\System32\. Dropper zapisoval na disk vždy stejný soubor mscrlib.exe. Naše analýza určila, že se jedná o nový nástroj pro krádež kryptoměn, ale jeho průběh spouštění se zdá být odlišný od toho, co jsme zvyklí běžně vídat. Stealer jsme pojmenovali BHUNT podle názvu hlavní sestavy. BHUNT je modulární stealer napsaný v prostředí .NET, který dokáže exfiltrovat obsah peněženek (Exodus, Electrum, Atomic, Jaxx, Ethereum, Bitcoin, Litecoin), hesla uložená v prohlížeči a heslové fráze zachycené ze schránky.
V tomto článku popisujeme, jak se nám podařilo rozbalit spustitelné soubory použité v této konkrétní kampani. Představíme průběh spouštění malwaru a analyzujeme jednotlivé moduly, abychom určili jejich schopnosti.
Klíčové poznatky
Experti Bitdefenderu objevili novou rodinu malwaru pro krádeže kryptopeněženek, nazvanou BHUNT.
Binární soubory jsou silně zašifrovány komerčními pakovacími programy, jako jsou Themida a VMProtect.
Identifikované vzorky se zdají být digitálně podepsány digitálním certifikátem vydaným pro softwarovou společnost, ale digitální certifikát neodpovídá binárním souborům.
Malwarové komponenty se specializují na krádeže souborů peněženek (wallet.dat a seed.seco), informací o schránce a přístupových frází používaných k obnovení účtů.
Malware používá šifrované konfigurační skripty stažené z veřejných stránek Pastebin.
Další komponenty se specializují na krádeže hesel, souborů cookie a dalších citlivých informací, uložených v prohlížečích Chrome a Firefox.
Doporučení
BHUNT stealer získává informace o kryptoměnových peněženkách a heslech, a doufá ve finanční zisk. Jeho kód je přímočarý a způsob doručení je podobný, jako u existujícího úspěšného malwaru, například Redline stealer.
Nikdy neinstalujte aplikace z nedůvěryhodných zdrojů
Udržujte své bezpečnostní řešení aktuální a nikdy ho nevypínejte, zejména pokud blokuje instalaci takového softwaru.
Indikátory kompromitace
Aktuální a úplný seznam indikátorů kompromitace je k dispozici uživatelům služby Bitdefender Advanced Threat Intelligence. Aktuálně známé indikátory kompromitace naleznete v níže uvedeném dokumentu.