Sicherheitsforscher haben kürzlich einen neuen modularen Stealer entdeckt, der in .NET geschrieben ist und in der Lage ist, Kryptowährungs-Wallets zu exfiltrieren, einschließlich Atomic, Exodus, Astraleum, Jazz, Bitcoin, und Litecoin-Geldbörsen. Die bösartige Kampagne, auf Australien abzielen, Ägypten, Deutschland, Indien, Indonesien, Japan, Malaysia, Norwegen, Singapur, Südafrika, Spanien, und die US-, wird höchstwahrscheinlich mithilfe von gecrackten Software-Installationsprogrammen unter Benutzern weltweit verbreitet.
Der Dieb kann auch Passwörter auslesen, die im Browser gespeichert sind, und Passphrasen direkt aus der Zwischenablage erfasst. Bitdefender-Forscher, die die Malware entdeckten, nannten sie BHUNT, nach dem Namen seiner Hauptversammlung. BHUNT ist in der Tat eine neue Familie von Kryptowährungs-Wallet-Stealer-Malware. Ihre Analyse ergab auch, dass die Ausführung des Flows des BHUNT-Stealers anders ist als bei den meisten dieser Stealer.
Was sind einige der Stealer-Spezifikationen von BHUNT??
Die Binärdateien der Malware scheinen mit kommerziellen Packern verschlüsselt worden zu sein, wie Themida und VMProtect. Die von den Forschern identifizierten Proben wurden mit einem digitalen Zertifikat signiert, das an ein Softwareunternehmen ausgestellt wurde. Es ist merkwürdig festzustellen, dass das Zertifikat nicht mit den Binärdateien übereinstimmte.
Was die Komponenten der Malware betrifft, Sie sind darauf spezialisiert, Krypto-Wallet-Dateien zu stehlen, wie wallet.dat und seed.seco, Zwischenablage Informationen, und Passphrasen, die zum Wiederherstellen von Konten benötigt werden.
Es ist auch bemerkenswert, dass die Malware verschlüsselte Konfigurationsskripte verwendete, die von öffentlichen Pastebin-Seiten heruntergeladen wurden. Seine anderen Komponenten sind zum Zweck des Passwortdiebstahls ausgestattet, Cookies und andere sensible detailliert, speziell in den Browsern Google Chrome und Mozilla Firefox gespeichert, Sagte Bitdefender.
Zuvor entdeckte Krypto-Wallet-Stealer
Pandadieb und ElectroRAT sind ein weiteres Beispiel für Malware, speziell für Krypto-Wallets entwickelt. Panda Stealer wurde hauptsächlich in den USA über Spam-E-Mails verbreitet, Australien, Japan, und Deutschland. Untersuchungen von Trend Micro haben gezeigt, dass Panda Stealer dateilose Techniken verwendet, um Erkennungsmechanismen zu umgehen.
Wie bei ElectroRAT, seine böswilligen Operationen waren in ihrem Mechanismus ziemlich ausgefeilt, bestehend aus einer Marketingkampagne, Benutzerdefinierte Anwendungen für Kryptowährungen, und ein völlig neues Remote Access Tool (RAT). In Bezug auf seine Verbreitung, Die Angreifer hinter der Operation lockten Benutzer von Kryptowährungen dazu, trojanisierte Apps herunterzuladen.