BHUNT, une nouvelle famille de malwares voleurs de crypto wallet découverte.
Les analystes de de la société Bit’defender ont déterminé que BHUNT est un voleur de crypto-monnaies capable d’exfiltrer le contenu des portefeuilles (Bitcoin, Litecoin, Ethereum, Jaxx, Atomic, Electrum, Exodus) ainsi que les mots de passe stockés dans le navigateur et les phrases de passe capturées dans le presse-papiers utilisé pour récupérer les comptes.
Le flux d’exécution de BHUNT est différent de ce que l’on voit habituellement. Le malware utilise VMProtect et Themida comme packers qui utilisent une machine virtuelle logicielle pour émuler des parties du code sur un CPU virtuel dont le jeu d’instructions est différent de celui d’un CPU conventionnel, ce qui rend la rétro-ingénierie extrêmement difficile.
Principales conclusions
– BHUNT utilise des scripts de configuration chiffrés qui sont téléchargés depuis des pages publiques Pastebin.
– Les échantillons de BHUNT obtenus semblent avoir été signés numériquement avec un certificat numérique émis par une société de logiciels, mais le certificat numérique ne correspond pas aux binaires.
– Les serveurs responsables de l’exfiltration utilisent Hopto.org, un service DNS dynamique pour masquer les adresses IP.
– La campagne semble cibler les utilisateurs particuliers et est répartie de manière homogène sur le plan géographique.