Los investigadores de seguridad detectaron recientemente un nuevo ladrón modular escrito en .NET y capaz de exfiltrar billeteras de criptomonedas, incluyendo atómica, éxodo, Etereum, Jazz, Bitcoin, y billeteras Litecoin. La campaña maliciosa, apuntando a Australia, Egipto, Alemania, India, Indonesia, Japón, Malasia, Noruega, Singapur, Sudáfrica, España, y los EE.UU., es muy probable que se extienda entre usuarios de todo el mundo con la ayuda de instaladores de software pirateados.
El ladrón también puede recolectar contraseñas almacenadas en el navegador., y frases de contraseña capturadas directamente desde el portapapeles. Los investigadores de Bitdefender que descubrieron el malware lo llamaron BHUNT, después del nombre de su asamblea principal. BHUNT es, de hecho, una nueva familia de malware para robar billeteras de criptomonedas. Su análisis también reveló que la ejecución del flujo del ladrón BHUNT es diferente a la de la mayoría de los ladrones..
¿Cuáles son algunas de las especificaciones de Stealer de BHUNT??
Los archivos binarios del malware parecen estar encriptados con empaquetadores comerciales., como Themida y VMProtect. Las muestras que identificaron los investigadores se firmaron digitalmente con un certificado digital emitido a una empresa de software.. Es curioso notar que el certificado no coincidía con los binarios.
En cuanto a los componentes del malware, están especializados en robar archivos de billeteras criptográficas, como wallet.dat y seed.seco, información del portapapeles, y frases de contraseña necesarias para recuperar cuentas.
También cabe destacar que el malware utilizaba scripts de configuración encriptados descargados de páginas públicas de Pastebin.. Sus otros componentes están equipados con el propósito de robo de contraseña, cookies y otros detalles sensibles, almacenado específicamente en los navegadores Google Chrome y Mozilla Firefox, Bitdefender dijo.
Ladrones de monederos criptográficos detectados previamente
Panda Stealer y ElectroRAT son otro ejemplo de malware, diseñado específicamente para apuntar a billeteras criptográficas. Panda Stealer se distribuyó a través de correos electrónicos no deseados principalmente en los EE. UU., Australia, Japón, y Alemania. La investigación de Trend Micro mostró que Panda Stealer utilizó técnicas sin archivos para eludir los mecanismos de detección..
En cuanto a ElectroRAT, sus operaciones maliciosas eran bastante elaboradas en su mecanismo, que consiste en una campaña de marketing, aplicaciones personalizadas relacionadas con las criptomonedas, y una herramienta de acceso remoto completamente nueva (RATA). En cuanto a su distribución, los atacantes detrás de la operación atrajeron a los usuarios de criptomonedas para que descargaran aplicaciones troyanizadas.