Malware pencuri crypto-wallet modular baru yang dijuluki ‘BHUNT’ telah terlihat menargetkan konten dompet cryptocurrency, kata sandi, dan frasa keamanan.
Ini adalah pencuri crypto lainnya yang ditambahkan ke tumpukan besar malware yang menargetkan mata uang digital, tetapi patut mendapat perhatian khusus karena sifatnya yang tersembunyi.
Penemuan dan analisis malware BHUNT baru berasal dari Bitdefender, yang membagikan temuan mereka dengan Bleeping Computer sebelum dipublikasikan.
Untuk menghindari deteksi dan memicu peringatan keamanan, BHUNT dikemas dan sangat dienkripsi menggunakan Themida dan VMProtect, dua pengemas mesin virtual yang menghalangi adanya reverse engineering dan analisis oleh para peneliti.
Pelaku ancaman menandatangani malware yang dapat dieksekusi dengan tanda tangan digital yang dicuri dari Piriform, pembuat CCleaner. Namun, karena pengembang malware menyalinnya dari executable yang tidak terkait, itu ditandai sebagai tidak valid karena ketidakcocokan binary.
Bitdefender menemukan bahwa BHUNT disuntikkan ke explorer.exe dan kemungkinan dikirimkan ke sistem yang disusupi melalui unduhan KMSpico, utilitas populer untuk mengaktifkan produk Microsoft secara ilegal.
Komponen utama BHUNT adalah ‘mscrlib.exe,’ yang mengekstrak modul lebih lanjut yang diluncurkan pada sistem yang terinfeksi untuk melakukan perilaku jahat yang berbeda.
Modul saat ini termasuk dalam executable ‘mscrlib.exe’ BHUNT dijelaskan di bawah ini:
- blackjack – mencuri isi file wllet, mengkodekannya dengan basis 64, dan mengunggahnya ke server C2
- chaos_crew – mengunduh muatan
- golden7 – mencuri kata sandi dari clipboard dan mengunggah file ke server C2
- Sweet_Bonanza – mencuri informasi dari browser (Chrome, IE, Firefox, Opera, Safari)
- mrpropper – membersihkan jejak (file argumen)
Dompet yang ditargetkan adalah Exodus, Electrum, Atomic, Jaxx, Ethereum, Bitcoin, dan Litecoin.
Selengkapnya: Bleeping Computer
