Bitdefender realiza una investigación sobre BHUNT, una familia de malware recién descubierta que tiene el objetivo de robar monederos de criptomonedas. Es capaz de extraer criptomonedas (Bitcoin, Litecoin, Ethereum, Jaxx, Atomic, Electrum y Exodus) de la billetera de las víctimas para depositarlas en las de los atacantes.

Si bien BHUNT se enfoca principalmente en robar criptomonedas, también es capaz de robar datos de inicio de sesión, contraseñas, datos de cuentas bancarias, cookies almacenadas en navegadores y las frases que se utilizan para recuperar las cuentas. Todo apunta a que se dirige a usuarios domésticos y que afecta a todas las regiones geográficas.

Presenta un flujo de ejecución único y diferente al de otros malwares. Utiliza VMProtect y Themida como empaquetadores (archivos comprimidos de malware) que usan una máquina virtual de software para emular partes del código en una CPU virtual, que tiene un conjunto de instrucciones diferente al de una CPU convencional, lo que hace que la ingeniería inversa resulte extremadamente complicada.

Las muestras de BHUNT obtenidas parecen haber sido firmadas digitalmente con un certificado emitido por una empresa de software, pero el certificado digital no coincide con los archivos binarios. Los servidores responsables de la exfiltración utilizan Hopto.org, un servicio de DNS dinámico para enmascarar las direcciones IP.