‘BHUNT’ adlı yeni bir modüler kripto cüzdan çalan kötü amaçlı yazılım, kripto para cüzdanı içeriklerini, şifreleri ve güvenlik ifadelerini hedef aldı.
Bu, dijital para birimini hedefleyen büyük bir kötü amaçlı yazılım yığınına eklenen başka bir kripto hırsızıdır, ancak gizliliği nedeniyle özel ilgiye değer.
enfeksiyon vektörü
Yeni BHUNT kötü amaçlı yazılımının keşfi ve analizi, bulgularını yayınlamadan önce Bleeping Computer ile paylaşan Bitdefender’dan geldi.
Algılama ve güvenlik uyarılarını tetiklemeden kaçınmak için BHUNT, araştırmacılar tarafından tersine mühendislik ve analiz yapılmasını engelleyen iki sanal makine paketleyici olan Themida ve VMProtect kullanılarak paketlenir ve yoğun bir şekilde şifrelenir.
Tehdit aktörleri, yürütülebilir kötü amaçlı yazılımı CCleaner’ın yapımcıları Piriform’dan çalınan dijital bir imzayla imzaladı. Ancak, kötü amaçlı yazılım geliştiricileri onu alakasız bir yürütülebilir dosyadan kopyaladığından, ikili uyumsuzluk nedeniyle geçersiz olarak işaretlenir.
Kaynak: Bitdefender
Bitdefender, BHUNT’ın explorer.exe’ye enjekte edildiğini ve muhtemelen, Microsoft ürünlerini yasa dışı olarak etkinleştirmek için popüler bir yardımcı program olan KMSpico indirmeleri aracılığıyla güvenliği ihlal edilmiş sisteme teslim edildiğini keşfetti.
KMS (Anahtar Yönetim Hizmetleri), yazılım korsanlarının Windows ve Office ürünlerini etkinleştirmek için sıklıkla kötüye kullandığı bir Microsoft lisans etkinleştirme sistemidir.
BleepingComputer yakın zamanda benzer bir kötü amaçlı yazılım vakası bildirdi KMSPico aktivatörleri kripto para cüzdanı hırsızlarını düşürüyor korsanların sistemlerine.
Bu kötü amaçlı yazılım, aşağıdaki ısı haritasında gösterildiği gibi, en fazla virüs bulaşmış kullanıcı konsantrasyonunun Hindistan’da olduğu dünya çapında tespit edildi.
Kaynak: Bitdefender
BHUNT modülleri
BHUNT’ın ana bileşeni, farklı kötü niyetli davranışlar gerçekleştirmek için virüslü bir sistemde başlatılan diğer modülleri ayıklayan ‘mscrlib.exe’dir.
Kaynak: Bitdefender
Her modül, kripto para cüzdanlarını çalmaktan şifreleri çalmaya kadar belirli bir amaç için tasarlanmıştır. Modüler bir yaklaşım kullanarak, tehdit aktörleri BHUNT’u farklı kampanyalar için özelleştirebilir veya kolayca yeni özellikler ekleyebilir.
BHUNT ‘mscrlib.exe’ yürütülebilir dosyasında bulunan mevcut modüller aşağıda açıklanmıştır:
- blackjack – cüzdan dosya içeriğini çalar, taban 64 ile kodlar ve C2 sunucusuna yükler
- kaos_crew – yükleri indirir
- altın7 – panodan şifreleri çalar ve dosyaları C2 sunucusuna yükler
- tatlı_bonanza – tarayıcılardan bilgi çalar (Chrome, IE, Firefox, Opera, Safari)
- mrpropper – izleri temizler (argüman dosyaları)
Hedeflenen cüzdanlar Çıkış, Elektrum, Atomik, Jaxx, Ethereum, Bitcoin, ve Litecoin.
Aşağıdaki kod parçacığında görebileceğiniz gibi, blackjack modülü, bir kullanıcının cihazındaki kripto para birimi cüzdanlarını aramak ve çalmak ve bunları saldırganın kontrolündeki uzak bir sunucuya göndermek için kullanılır.
Kaynak: Bitdefender
Tehdit aktörü, cüzdanın tohum veya yapılandırma dosyasına eriştiğinde, cüzdanı kendi cihazlarına aktarmak ve içerdiği kripto para birimini çalmak için kullanabilir.
BHUNT’un odak noktası açıkça finansal olsa da, bilgi çalma yetenekleri operatörlerinin kripto cüzdan verisinden çok daha fazlasını toplamasını sağlayabilir.
Bitdefender, “Kötü amaçlı yazılım öncelikle kripto para cüzdanlarıyla ilgili bilgileri çalmaya odaklanırken, aynı zamanda tarayıcı önbelleklerinde depolanan şifreleri ve çerezleri de toplayabilir” – diye açıklıyor. bildiri.
“Bu, çevrimiçi kimliğin ele geçirilmesine neden olabilecek sosyal medya, bankacılık vb. hesap şifrelerini içerebilir.”
BHUNT tarafından etkilenmemek için korsan yazılım, crack ve yasal olmayan ürün etkinleştiricileri indirmekten kaçınmanız yeterlidir.
Olduğu gibi defalarca kanıtlanmış, korsan yazılım kullanmanın öngörülen mali tasarrufları, virüslü sistemlere verebilecekleri zararla karşılaştırıldığında önemsizdir.