Des chercheurs en sécurité ont récemment repéré un nouveau voleur modulaire écrit en .NET et capable d'exfiltrer des portefeuilles de crypto-monnaie, y compris atomique, Exode, Ethereum, le jazz, Bitcoin, et portefeuilles Litecoin. La campagne malveillante, ciblant l'Australie, Egypte, Allemagne, Inde, Indonésie, Japon, Malaisie, Norvège, Singapour, Afrique du Sud, Espagne, et aux États-Unis, est très probablement répandu parmi les utilisateurs du monde entier avec l'aide d'installateurs de logiciels piratés.
Le voleur peut également récolter les mots de passe stockés dans le navigateur, et phrases de passe capturées directement à partir du presse-papiers. Les chercheurs de Bitdefender qui ont découvert le malware l'ont nommé BHUNT, après le nom de son assemblage principal. BHUNT est en fait une nouvelle famille de logiciels malveillants de vol de portefeuille de crypto-monnaie. Leur analyse a également révélé que l'exécution du flux du voleur BHUNT est différente de celle de la plupart de ces voleurs..
Quelles sont certaines des spécifications de Stealer de BHUNT?
Les fichiers binaires du logiciel malveillant semblent être cryptés avec des packers commerciaux, tels que Themida et VMProtect. Les échantillons identifiés par les chercheurs ont été signés numériquement avec un certificat numérique délivré à une société de logiciels. Il est curieux de noter que le certificat ne correspondait pas aux binaires.
En ce qui concerne les composants du malware, ils sont spécialisés dans le vol de fichiers de portefeuille crypto, tels que wallet.dat et seed.seco, informations du presse-papiers, et les mots de passe nécessaires pour récupérer les comptes.
Il convient également de noter que le logiciel malveillant utilisait des scripts de configuration cryptés téléchargés à partir de pages Pastebin publiques.. Ses autres composants sont équipés à des fins de vol de mot de passe, cookies et autres détails sensibles, stockés spécifiquement dans les navigateurs Google Chrome et Mozilla Firefox, Bitdefender a dit.
Voleurs de portefeuille crypto précédemment détectés
Voleur de pandas et ElectroRAT sont d'autres exemples de logiciels malveillants, spécialement conçu pour cibler les portefeuilles cryptographiques. Panda Stealer a été distribué via des spams principalement aux États-Unis, Australie, Japon, et en Allemagne. Les recherches de Trend Micro ont montré que Panda Stealer utilisait des techniques sans fichier pour contourner les mécanismes de détection.
Quant à ElectroRAT, ses opérations malveillantes étaient assez élaborées dans leur mécanisme, consistant en une campagne marketing, applications personnalisées liées aux crypto-monnaies, et un tout nouvel outil d'accès à distance (RAT). Au niveau de sa diffusion, les attaquants derrière l'opération ont incité les utilisateurs de crypto-monnaie à télécharger des applications trojanisées.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: