Вредонос BHUNT охотится за криптокошельками и использует подпись CCleaner

Вредонос BHUNT охотится за криптокошельками и использует подпись CCleaner

Вредонос BHUNT охотится за криптокошельками и использует подпись CCleaner

Эксперты рассказали о новом модульном вредоносе BHUNT, который крадёт связанные с криптокошельками данные. Имена пользователей, пароли и фразы для защиты аккаунта — всё это интересует операторов зловреда. Особенно эксперты отмечают умение BHUNT оставаться незамеченным.

Новую вредоносную программу проанализировали специалисты Bitdefender, по словам которых BHUNT очень тщательно упакован и зашифрован при помощи Themida и VMProtect. Это затрудняет обратный инжиниринг и изучение семпла зловреда.

Исполняемый файл BHUNT имеет цифровую подпись, украденную у Piriform, разработчика популярного софта для очистки системы — CCleaner. Тем не менее подпись всё равно остаётся невалидной, поскольку злоумышленники скопировали её со стороннего исполняемого файла.

 

Как отметили в Bitdefender, BHUNT доставляется в систему жертву с помощью загрузок KMSpico (популярная утилита для нелегальной активации Windows), после чего внедряется в процесс explorer.exe. Главный компонент вредоноса — mscrlib.exe — используется для извлечения модулей на заражённой машине.

Каждый такой модуль разработан под конкретную задачу: кража криптовалютных кошельков, кража паролей и т. п. Всего исследователи насчитали пять составляющих:

  • blackjack — крадёт содержимое криптокошельков, шифрует его base-64 и загружает на командный сервер (C2).
  • chaos_crew — загружает пейлоады.
  • golden7 — крадёт пароли из буфера обмена и загружает их на C2.
  • Sweet_Bonanza — крадёт информацию из браузеров Chrome, IE, Firefox, Opera и Safari.
  • mrpropper — заметает следы.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенник подсматривает. В том числе за фотографиями утюгов и плит

Согласно исследованию «Лаборатории Касперского», каждый пятый россиянин перед выходом из дома фотографирует электроприборы — утюги, электроплиты и другие устройства. Такая привычка помогает снизить тревожность, но одновременно может представлять угрозу для конфиденциальности данных.

В опросе, проведённом среди более чем 1000 жителей крупных городов России, 11% респондентов признались, что делают такие снимки регулярно, а 9% — время от времени. Почти все (95%) отметили, что это позволяет им чувствовать себя спокойнее.

Клинический психолог и редактор сервиса онлайн-психотерапии «Ясно» Марина Волкова объясняет, что подобное поведение — часть цикла «тревога — самоуспокоение», связанного со сложными психическими процессами. Хотя снимки могут временно снизить тревожность, они не устраняют её источник. В некоторых случаях такая привычка может быть проявлением обсессивно-компульсивного расстройства (ОКР) или синдрома дефицита внимания и гиперактивности (СДВГ). Однако самодиагностика неэффективна — при повышенной тревожности лучше обратиться к психиатру, который подберёт подходящую терапию, возможно, включая медикаментозную поддержку.

При этом фотографирование касается не только электроприборов, но и конфиденциальных данных: документов, банковских карт, логинов и паролей. Это создаёт риск утечки информации, особенно если злоумышленники используют автоматизированные инструменты сбора данных, даже при отключённой синхронизации с облачными хранилищами.

«Фотографирование или скриншоты секретных данных — распространённая, но небезопасная практика, — предупреждает Дмитрий Галов, руководитель Kaspersky GReAT в России. — Например, недавно наши коллеги выявили вредоносную программу SparkCat, которая анализировала текст на изображениях в галерее заражённого смартфона. Если программа обнаруживала критически важную информацию, такую как фразы для восстановления доступа к криптокошелькам, она передавала её злоумышленникам».

Чтобы защитить личные данные, специалисты рекомендуют использовать менеджеры паролей — специальные приложения, предназначенные для безопасного хранения секретной информации.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru