Sikkerhedsforskere opdagede for nylig en ny modulopbygget stjæler skrevet i .NET og i stand til at eksfiltrere cryptocurrency-punge, inklusive Atomic, Exodus, Ethereum, Jazz, Bitcoin, og Litecoin-punge. Den ondsindede kampagne, rettet mod Australien, Egypten, Tyskland, Indien, Indonesien, Japan, Malaysia, Norge, Singapore, Sydafrika, Spanien, og US, er højst sandsynligt spredt på tværs af brugere over hele verden ved hjælp af crackede softwareinstallatører.
Tyveren kan også høste adgangskoder, der er gemt i browseren, og adgangssætninger fanget direkte fra udklipsholderen. Bitdefender-forskere, der opdagede malwaren, kaldte den BHUNT, efter hovedforsamlingens navn. BHUNT er faktisk en ny familie af cryptocurrency wallet stealer malware. Deres analyse afslørede også, at udførelsen af flowet af BHUNT-tyveren er anderledes end de fleste sådanne stjælere.
Hvad er nogle af BHUNTs Stealer-specifikationer?
Malwarens binære filer ser ud til at være krypteret med kommercielle pakker, såsom Themida og VMProtect. Prøverne, som forskerne identificerede, blev digitalt signeret med et digitalt certifikat udstedt til et softwarefirma. Det er nysgerrigt at bemærke, at certifikatet ikke matchede de binære filer.
Hvad angår malwarens komponenter, de er specialiserede i at stjæle crypto wallet-filer, såsom wallet.dat og seed.seco, information om udklipsholderen, og adgangssætninger, der er nødvendige for at gendanne konti.
Det er også bemærkelsesværdigt, at malwaren brugte krypterede konfigurationsscripts downloadet fra offentlige Pastebin-sider. Dens andre komponenter er udstyret med henblik på tyveri af adgangskode, cookies og andre følsomme detaljer, gemt specifikt i Google Chrome og Mozilla Firefox browsere, sagde Bitdefender.
Tidligere opdagede Crypto Wallet-tyvere
Panda Stealer og ElectroRAT er andre eksempler på malware, specielt designet til at målrette krypto-punge. Panda Stealer blev distribueret via spam-e-mails for det meste i USA, Australien, Japan, og Tyskland. Trend Micros forskning viste, at Panda Stealer brugte filløse teknikker til at omgå detekteringsmekanismer.
Hvad angår ElectroRAT, dens ondsindede operationer var ret komplicerede i deres mekanisme, bestående af en marketingkampagne, brugerdefinerede applikationer relateret til kryptokurver, og et helt nyt værktøj til fjernadgang (RAT). Med hensyn til dens fordeling, angriberne bag operationen lokkede cryptocurrency-brugere til at downloade trojanske apps.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: