E’ stato scoperto un nuovo password stealer di criptovalute, chiamato BHUNT: il suo obiettivo è quello di ottenere un guadagno finanziario sulle vittime, e si aggiunge a un elenco di altri malware che lavorano al furto di valuta digitale come ad esempio CryptBot, Redline Stealer e WeSteal.
Cos’è BHUNT?
“BHUNT è uno stealer modulare scritto in .NET, in grado di esfiltrare i contenuti dei portafogli virtuali (Exodus, Electrum, Atomic, Jaxx, Ethereum, Bitcoin, Litecoin), le password memorizzate nel browser e le passphrase catturate dagli appunti“, hanno affermato i ricercatori di Bitdefender mercoledì in una relazione tecnica.
Dove si è diffuso il malware e come?
Si sospetta che la campagna, distribuita a livello globale in Australia, Egitto, Germania, India, Indonesia, Giappone, Malesia, Norvegia, Singapore, Sud Africa, Spagna e Stati Uniti (si aggiungeranno presto altri Paesi), sia stata rilasciata in sistemi compromessi tramite software crackati.
Il modus operandi dell’utilizzo di crack come fonte di infezione per l’accesso iniziale rispecchia campagne hacker simili che hanno sfruttato altri strumenti (come ad esempio KMSPico) come canale per la distribuzione di malware. “La maggior parte degli utenti infetti aveva anche una qualche forma di crack per Windows (KMS) sui propri sistemi“, hanno osservato i ricercatori.
Come avviene l’attacco?
La sequenza di attacco inizia con l’esecuzione di un dropper iniziale, che procede alla scrittura di binari provvisori fortemente crittografati che vengono quindi utilizzati per avviare il componente principale dello stealer malware: un malware .NET che incorpora diversi moduli per facilitare le sue attività malevole, i risultati di cui vengono esfiltrati su un server remoto:
- blackjack: ruba il contenuto del file del portafoglio
- caos-crew: scarica payload aggiuntivi
- golden7: preleva i cookie da Firefox e Chrome e le password dagli appunti
- Sweet_Bonanza: ruba le password memorizzate da browser come Internet Explorer, Firefox, Chrome, Opera e Safari
- mrpropper – elimina le tracce del furto
Altre implicazioni
Il furto di informazioni potrebbe anche avere un impatto sulla privacy in quanto le password e i token dell’account rubati dalla cache del browser potrebbero essere utilizzati in modo improprio per commettere frodi e ottenere altri vantaggi finanziari.
L’emergere di BHUNT è un altro segno che gli stealer malware, clipper, cryptojacker e trojan stanno alimentando sempre più il crimine incentrato sulle criptovalute, con Cryptbot che ha incassato quasi mezzo milione di dollari in Bitcoin rubati nel 2021, secondo un nuovo rapporto di Chainalysis.
“Il modo più efficace per difendersi da questa minaccia è evitare l’installazione di software da fonti non attendibili e mantenere aggiornate le soluzioni di sicurezza“, hanno concluso i ricercatori.
Ti è piaciuto questo articolo? Contattaci per una consulenza per servizi di sicurezza informatica: