Un nuovo malware sta circolando e prende di mira le criptovalute. Ma non è il classico cryptominer bensì qualcosa di più preoccupante: Bhunt, scoperto dai ricercatori di Bitdefender, è un malware che non solo può sottrarre Bitcoin, Litecoin, Ethereum, Jaxx, Atomic, Electrum o Exodus dal portafoglio virtuale della sua vittima, ma può anche esfiltrare le password memorizzate nel browser e le passphrase utilizzate per recuperare gli account. La campagna malware sembra prendere di mira gli utenti privati ed è diffusa un po’ in tutto il mondo, anche se concentrata soprattutto in India. In Europa, i Paesi più colpiti sono Spagna e Regno Unito.
Questo malware, anzi questa famiglia di malware, agisce in modo insolito: due software legittimi, ovvero VmProtect e Themida, vengono sfruttati dai criminali per rendere estremamente difficile il reverse engineering del loro programma. Più precisamente, vengono usati per creare pacchetti che impiegano una macchina virtuale software per emulare parti del codice su una Cpu virtuale dotata di un set di istruzioni diverso da quello di una Cpu convenzionale.
Altre caratteristiche del nuovo malware, elencate da Bitdefender, sono l’uso di script di configurazione cifrati che vengono scaricati da pagine Pastebin pubbliche, e l’utilizzo di Hopto.org, un servizio DNS dinamico, per mascherare gli indirizzi IP. Inoltre i campioni di Bhunt esaminati dai ricercatori sembrano essere stati firmati con un certificato digitale rilasciato a una società di software, ma tale certificati non corrisponde ai codici binari.
Oggi le criptovalute si stanno facendo strada nel mondo della finanza, delle banche e del fintech (PayPal, per esempio, sta per lanciare la propria stablecoin), ma non stanno emergendo parallelamente metodi efficaci per fermare il fenomeno del cryptomining. E di fronte a minacce come Bhunt lo scenario diventa ancor più preoccupante.
Altri malware di questo tipo, specializzati in tecniche d’accesso ai portafogli di criptovalute, si stanno diffondendo. Inoltre, sebbene Bhunt sia responsabile principalmente del furto di criptovalute, esistono anche “enormi preoccupazioni per la privacy”, sottolinea Bitdefender, in quanto il malware può esfiltrare le password e i cookie memorizzati nei browser, e da qui ricavare l’accesso a pagine di social media, siti di internet banking e account personali di ogni genere.