Beveiligingsonderzoekers zagen onlangs een nieuwe modulaire stealer geschreven in .NET en in staat om cryptocurrency-portefeuilles te exfiltreren, inclusief Atomic, Exodus, Ethereum, Jazz, Bitcoin, en Litecoin-portefeuilles. De kwaadaardige campagne, gericht op Australië, Egypte, Duitsland, India, Indonesië, Japan, Maleisië, Noorwegen, Singapore, Zuid-Afrika, Spanje, en U.S., is hoogstwaarschijnlijk verspreid over gebruikers over de hele wereld met behulp van gekraakte software-installatieprogramma's.
De dief kan ook wachtwoorden verzamelen die in de browser zijn opgeslagen, en wachtwoordzinnen die rechtstreeks van het klembord zijn vastgelegd. Bitdefender-onderzoekers die de malware ontdekten, noemden het BHUNT, na de naam van de hoofdassemblage. BHUNT is in feite een nieuwe familie van malware voor het stelen van cryptocurrency-portemonnees. Uit hun analyse bleek ook dat de uitvoering van de stroom van de BHUNT-stealer anders is dan de meeste van dergelijke stealers.
Wat zijn enkele van BHUNT's Stealer-specificaties??
De binaire bestanden van de malware lijken te zijn versleuteld met commerciële packers, zoals Themida en VMProtect. De monsters die de onderzoekers hebben geïdentificeerd, zijn digitaal ondertekend met een digitaal certificaat dat is uitgegeven aan een softwarebedrijf. Het is merkwaardig om op te merken dat het certificaat niet overeenkwam met de binaire bestanden.
Wat betreft de componenten van de malware, ze zijn gespecialiseerd in het stelen van crypto-portemonneebestanden, zoals wallet.dat en seed.seco, klembord informatie, en wachtwoordzinnen die nodig zijn om accounts te herstellen.
Het is ook opmerkelijk dat de malware gebruikmaakte van versleutelde configuratiescripts die werden gedownload van openbare Pastebin-pagina's. De andere componenten zijn uitgerust met het oog op diefstal van wachtwoorden, cookies en andere gevoelige gedetailleerde, specifiek opgeslagen in de browsers Google Chrome en Mozilla Firefox, Bitdefender zei:.
Eerder gedetecteerde crypto-portemonnee-stealers
Panda Stealer en ElectroRAT zijn andere voorbeelden van malware, speciaal ontworpen om crypto-wallets te targeten. Panda Stealer werd voornamelijk in de VS verspreid via spam-e-mails, Australië, Japan, en Duitsland. Uit het onderzoek van Trend Micro bleek dat Panda Stealer bestandsloze technieken gebruikte om detectiemechanismen te omzeilen.
Wat betreft ElectroRAT, de kwaadaardige operaties waren behoorlijk uitgebreid in hun mechanisme, bestaande uit een marketingcampagne, aangepaste applicaties met betrekking tot cryptocurrencies, en een geheel nieuwe Remote Access Tool (RAT). In termen van de distributie, de aanvallers achter de operatie lokten gebruikers van cryptocurrency ertoe om getrojaniseerde apps te downloaden.