Nuevo malware de ladrón de contraseñas BHUNT dirigido a billeteras de criptomonedas

BHUNT Noticias

Un nuevo ladrón evasivo de billeteras criptográficas llamado BUNT ha sido detectado en la naturaleza con el objetivo de obtener ganancias financieras, lo que se suma a una lista de malware de robo de moneda digital como CryptBot, Ladrón de línea roja, y Robamos.

«BHUNT es un ladrón modular escrito en .NET, capaz de exfiltrar contenido de billeteras (carteras Exodus, Electrum, Atomic, Jaxx, Ethereum, Bitcoin, Litecoin), contraseñas almacenadas en el navegador y frases de contraseña capturadas del portapapeles», investigador de Bitdefender dicho en un informe técnico el miércoles.

Se sospecha que la campaña, distribuida globalmente en Australia, Egipto, Alemania, India, Indonesia, Japón, Malasia, Noruega, Singapur, Sudáfrica, España y los EE. UU., llega a sistemas comprometidos a través de instaladores de software pirateados.

El modus operandi de usar cracks como fuente de infección para el acceso inicial refleja campañas similares de ciberdelincuencia que han aprovechado herramientas como KMSPico como conducto para implementar malware. «La mayoría de los usuarios infectados también tenían algún tipo de crack para Windows (KMS) en sus sistemas», señalaron los investigadores.

La secuencia de ataque comienza con la ejecución de un cuentagotas inicial, que procede a escribir archivos binarios intermedios altamente encriptados que luego se usan para lanzar el componente principal del ladrón: un malware .NET que incorpora diferentes módulos para facilitar sus actividades maliciosas, los resultados de los cuales se extraen a un servidor remoto:

  • blackjack: robar el contenido del archivo de la billetera
  • Chaos-crew: descarga cargas útiles adicionales
  • golden7: extrae cookies de Firefox y Chrome, así como contraseñas del portapapeles
  • Sweet_Bonanza: roba contraseñas almacenadas de navegadores como Internet Explorer, Firefox, Chrome, Opera y Safari, y
  • mrpropper – limpiar rastros

El robo de información también podría tener un impacto en la privacidad, ya que las contraseñas y los tokens de cuenta robados del caché del navegador podrían utilizarse para cometer fraude y obtener otros beneficios financieros.

«La forma más efectiva de defenderse contra esta amenaza es evitar instalar software de fuentes no confiables y mantener las soluciones de seguridad actualizadas», concluyeron los investigadores.

David
Rate author
Hackarizona