セキュリティ研究者は最近、.NETで書かれ、暗号通貨ウォレットを盗み出すことができる新しいモジュラースティーラーを発見しました, アトミックを含む, 出エジプト記, イーサリアム, ジャズ, ビットコイン, とライトコインウォレット. 悪意のあるキャンペーン, オーストラリアをターゲットに, エジプト, ドイツ, インド, インドネシア, 日本, マレーシア, ノルウェー, シンガポール, 南アフリカ, スペイン, と米国, ひびの入ったソフトウェアインストーラーの助けを借りて、世界中のユーザーに広がる可能性が最も高いです.
スティーラーは、ブラウザに保存されているパスワードを収集することもできます, クリップボードから直接キャプチャされたパスフレーズ. マルウェアを発見したBitdefenderの研究者は、それをBHUNTと名付けました, そのメインアセンブリの名前の後. BHUNTは実際、暗号通貨ウォレットスティーラーマルウェアの新しいファミリーです. 彼らの分析はまた、BHUNTスティーラーのフローの実行がほとんどのそのようなスティーラーとは異なることを明らかにしました.
BHUNTのスティーラー仕様の一部は何ですか?
マルウェアのバイナリファイルは、商用パッカーで暗号化されているようです, ThemidaやVMProtectなど. 研究者が特定したサンプルは、ソフトウェア会社に発行されたデジタル証明書でデジタル署名されました. 証明書がバイナリと一致しなかったことに注意するのは不思議です.
マルウェアのコンポーネントについて, 彼らは暗号ウォレットファイルを盗むことに特化しています, wallet.datやseed.secoなど, クリップボード情報, アカウントを回復するために必要なパスフレーズ.
マルウェアが公開Pastebinページからダウンロードされた暗号化された構成スクリプトを利用したことも注目に値します. その他のコンポーネントは、パスワードの盗難を目的として装備されています, クッキーおよびその他の機密情報, 特にGoogleChromeおよびMozillaFirefoxブラウザに保存されます, Bitdefenderは言った.
以前に検出された暗号ウォレットスティーラー
パンダスティーラー と ElectroRAT マルウェアの他の例です, 暗号ウォレットをターゲットにするように特別に設計されています. Panda Stealerは、主に米国でスパムメールを介して配布されました, オーストラリア, 日本, およびドイツ. トレンドマイクロの調査によると、パンダスティーラーはファイルレス技術を利用して検出メカニズムをバイパスしました.
ElectroRATについて, その悪意のある操作は、そのメカニズムにおいて非常に精巧でした, マーケティングキャンペーンで構成されています, 暗号通貨に関連するカスタムアプリケーション, まったく新しいリモートアクセスツール (ねずみ). その分布に関して, 操作の背後にある攻撃者は、暗号通貨ユーザーをトロイの木馬化されたアプリのダウンロードに誘い込みました.