I ricercatori di sicurezza hanno recentemente individuato un nuovo stealer modulare scritto in .NET e in grado di esfiltrare i portafogli di criptovaluta, compreso atomico, Esodo, Ethereum, Jazz, Bitcoin, e portafogli Litecoin. La campagna malevola, prendendo di mira l'Australia, Egitto, Germania, India, Indonesia, Giappone, Malaysia, Norvegia, Singapore, Sud Africa, Spagna, e gli Stati Uniti, è molto probabilmente diffuso tra gli utenti di tutto il mondo con l'aiuto di programmi di installazione di software craccati.
Il ladro può anche raccogliere le password memorizzate nel browser, e le passphrase catturate direttamente dagli appunti. I ricercatori di Bitdefender che hanno scoperto il malware lo hanno chiamato BHUNT, dopo il nome della sua assemblea principale. BHUNT è in effetti una nuova famiglia di malware per rubare portafogli di criptovaluta. La loro analisi ha anche rivelato che l'esecuzione del flusso del ladro BHUNT è diversa dalla maggior parte di tali ladri.
Quali sono alcune delle specifiche del ladro di BHUNT?
I file binari del malware sembrano essere crittografati con packer commerciali, come Themida e VMProtect. I campioni identificati dai ricercatori sono stati firmati digitalmente con un certificato digitale rilasciato a una società di software. È curioso notare che il certificato non corrispondeva ai binari.
Per quanto riguarda i componenti del malware, sono specializzati nel furto di file di portafoglio crittografico, come wallet.dat e seed.seco, informazioni sugli appunti, e le passphrase necessarie per recuperare gli account.
È anche interessante notare che il malware ha utilizzato script di configurazione crittografati scaricati da pagine pubbliche di Pastebin. I suoi altri componenti sono attrezzati per il furto di password, cookie e altri dettagli sensibili, memorizzati specificamente nei browser Google Chrome e Mozilla Firefox, ha detto Bitdefender.
Ladri di criptovalute precedentemente rilevati
Ladro di panda e ElectroRAT sono altri esempi di malware, specificamente progettato per prendere di mira i portafogli crittografici. Panda Stealer è stato distribuito tramite e-mail di spam principalmente negli Stati Uniti, Australia, Giappone, e la Germania. La ricerca di Trend Micro ha mostrato che Panda Stealer utilizzava tecniche senza file per aggirare i meccanismi di rilevamento.
Per quanto riguarda ElectroRAT, le sue operazioni dannose erano piuttosto elaborate nel loro meccanismo, costituito da una campagna di marketing, applicazioni personalizzate relative alle criptovalute, e uno strumento di accesso remoto completamente nuovo (RAT). In termini di distribuzione, gli aggressori dietro l'operazione hanno attirato gli utenti di criptovaluta a scaricare app trojanizzate.