Un nuevo y evasivo programa de robo de carteras de criptomonedas llamado BHUNT ha sido visto en la web con el objetivo de obtener ganancias financieras, añadiéndose a una lista de malware de robo de moneda digital como CryptBot, Redline Stealer y WeSteal.
"BHUNT es un ladrón modular escrito en .NET, capaz de exfiltrar el contenido de las carteras (Exodus, Electrum, Atomic, Jaxx, Ethereum, Bitcoin, Litecoin), las contraseñas almacenadas en el navegador y las frases de contraseña capturadas del portapapeles", dijo el investigador de Bitdefender en un informe técnico el miércoles 19 de enero.
Se sospecha que la campaña, distribuida a nivel mundial en Alemania, Australia, Egipto, España, Estados Unidos, India, Indonesia, Japón, Malasia, Noruega, Singapur y Sudáfrica, llega a los sistemas comprometidos a través de instaladores de software crackeados.
El modus operandi de utilizar cracks como fuente de infección para el acceso inicial es un reflejo de campañas similares de ciberdelincuencia que han aprovechado herramientas como KMSPico como conducto para desplegar el malware. "La mayoría de los usuarios infectados también tenían alguna forma de crack para Windows (KMS) en sus sistemas", señalaron los investigadores.
La secuencia de ataque comienza con la ejecución de un dropper inicial, que procede a escribir binarios intermedios fuertemente encriptados que luego son utilizados para lanzar el componente principal del stealer - un malware .NET que incorpora diferentes módulos para facilitar sus actividades maliciosas, cuyos resultados son exfiltrados a un servidor remoto -.
- blackjack - roba el contenido de los archivos de la cartera
- chaos-crew - descarga cargas útiles adicionales
- golden7 - extrae las cookies de Firefox y Chrome, así como las contraseñas del portapapeles
- Sweet_Bonanza - Roba contraseñas almacenadas de navegadores como Internet Explorer, Firefox, Chrome, Opera y Safari, y
- mrpropper - borra los rastros
El robo de información también podría tener un impacto en la privacidad, ya que las contraseñas y los tokens de cuentas robados de la caché del navegador podrían ser utilizados para cometer fraudes y obtener otros beneficios financieros.
"La forma más eficaz de defenderse de esta amenaza es evitar la instalación de software de fuentes no fiables y mantener las soluciones de seguridad actualizadas", concluyen los investigadores.
Fuente: https://thehackernews.com/2022/01/new-bhunt-password-stealer-malware.html