Pesquisadores de segurança descobriram recentemente um novo ladrão modular escrito em .NET e capaz de exfiltrar carteiras de criptomoedas, incluindo atômica, Êxodo, Ethereum, Jazz, Bitcoin, e carteiras Litecoin. A campanha maliciosa, visando a Austrália, Egito, Alemanha, Índia, Indonésia, Japão, Malásia, Noruega, Cingapura, África do Sul, Espanha, e os EUA, é provavelmente espalhado por usuários em todo o mundo com a ajuda de instaladores de software crackeado.
O ladrão também pode coletar senhas armazenadas no navegador, e senhas capturadas diretamente da área de transferência. Pesquisadores da Bitdefender que descobriram o malware o chamaram de BHUNT, após o nome de sua assembléia principal. BHUNT é de fato uma nova família de malware ladrão de carteira de criptomoedas. Sua análise também revelou que a execução do fluxo do ladrão BHUNT é diferente da maioria desses ladrões.
Quais são algumas das especificações do Stealer do BHUNT?
Os arquivos binários do malware parecem ser criptografados com empacotadores comerciais, como Themida e VMProtect. As amostras identificadas pelos pesquisadores foram assinadas digitalmente com um certificado digital emitido para uma empresa de software. É curioso notar que o certificado não correspondia aos binários.
Quanto aos componentes do malware, eles são especializados em roubar arquivos de carteira criptográfica, como wallet.dat e seed.seco, informações da área de transferência, e senhas necessárias para recuperar contas.
Também é digno de nota que o malware utilizou scripts de configuração criptografados baixados de páginas públicas do Pastebin. Seus outros componentes são equipados para fins de roubo de senha, cookies e outros detalhes confidenciais, armazenados especificamente nos navegadores Google Chrome e Mozilla Firefox, Bitdefender disse.
Ladrões de carteira de criptomoedas detectados anteriormente
Ladrão de panda e ElectroRAT são outro exemplo de malware, projetado especificamente para atingir carteiras de criptomoedas. O Panda Stealer foi distribuído por e-mails de spam principalmente nos EUA, Austrália, Japão, e Alemanha. A pesquisa da Trend Micro mostrou que o Panda Stealer utilizou técnicas sem arquivo para contornar os mecanismos de detecção.
Quanto ao EletroRAT, suas operações maliciosas eram bastante elaboradas em seu mecanismo, consistindo em uma campanha de marketing, aplicativos personalizados relacionados a criptomoedas, e uma ferramenta de acesso remoto totalmente nova (RATO). Quanto à sua distribuição, os invasores por trás da operação atraíram usuários de criptomoedas para baixar aplicativos trojanizados.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: