عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرمجيات الخبيثة برنامج MassJacker الخبيث

برنامج MassJacker الخبيث

بواسطة Mezo في البرمجيات الخبيثة, سارقون
ترجمة الى:
العربية

كشف باحثو الأمن السيبراني عن حملة برمجيات خبيثة جديدة تستهدف المستخدمين الباحثين عن برامج مقرصنة. يُطلق الهجوم برمجية خبيثة غير موثقة سابقًا تُسمى MassJacker، مصممة لسرقة العملات المشفرة عن طريق التلاعب ببيانات الحافظة.

كيف يعمل MassJacker: تهديد البرامج الضارة Clipper

برنامج Clipper الخبيث هو تهديد إلكتروني خطير يراقب نشاط حافظة بيانات الضحية. عندما ينسخ مستخدم جهاز كمبيوتر عنوان محفظة عملات مشفرة، يستبدله البرنامج الخبيث بعنوان يتحكم به المهاجم، مما يُعيد توجيه الأموال إلى مجرمي الإنترنت بدلاً من المستلم المقصود.

Pesktop.com: بوابة للعدوى

تبدأ سلسلة العدوى بموقع Pesktop.com، وهو موقع يتنكر كمصدر للبرامج المقرصنة. ومع ذلك، يتلقى المستخدمون الذين يقومون بالتنزيل من هذا الموقع، دون علمهم، أنواعًا مختلفة من البرامج الضارة مع البرامج التي يرغبون بها.

بمجرد تشغيل المستخدم للملف التنفيذي الأولي، يُفعّل نصًا برمجيًا من PowerShell يُحمّل برنامجًا خبيثًا من نوع بوت نت يُسمى Amadey، بالإضافة إلى ملفين ثنائيين من نوع .NET مُصمّمين لكلٍّ من معماريتي 32 بت و64 بت. يُحمّل هذان الملفان الثنائيان، اللذان يحملان الاسم الرمزي PackerE، ملف DLL مُشفّرًا، والذي يُشغّل بدوره حمولة MassJacker عن طريق حقنها في عملية Windows شرعية تُعرف باسم InstalUtil.exe.

وضع التخفي: كيف يتجنب MassJacker الكشف

لتجنب الكشف، يستخدم البرنامج الخبيث تقنيات التعتيم المتعددة، بما في ذلك:

  • JIT Hooking : تعديل التجميع في الوقت المناسب (JIT) للتهرب من التحليل.
  • تعيين رمز البيانات الوصفية : يخفي استدعاءات الوظائف لجعل التحليل أكثر صعوبة.
  • تنفيذ آلة افتراضية مخصصة : بدلاً من تشغيل كود .NET القياسي، فإنه ينفذ الأوامر من خلال آلة افتراضية لمنع الاكتشاف.

بالإضافة إلى ذلك، يأتي MassJacker مزودًا بآليات مكافحة التصحيح الخاصة به، مما يجعل من الصعب على الباحثين الأمنيين تحليله.

كيف يجمع MassJacker العملات المشفرة

بمجرد تفعيل MassJacker، يراقب حافظة الضحية باستمرار. يمسح النصوص المنسوخة باستخدام تعبيرات عادية للكشف عن عناوين محافظ العملات المشفرة. إذا وجد تطابقًا، يستبدل البرنامج الخبيث عنوان المحفظة المنسوخ بآخر من قائمة مُحمّلة مسبقًا يتحكم بها المهاجمون.

يتصل MassJacker بخادم بعيد لاسترداد قائمة محدثة من عناوين المحفظة، مما يضمن استمرار تدفق الأموال المسروقة إلى الحسابات التي يسيطر عليها مجرمو الإنترنت.

حجم الهجوم المذهل

حدد الباحثون أكثر من 778,531 عنوان محفظة فريدًا مرتبطًا بالمهاجمين. ومع ذلك، لا تحتوي سوى 423 محفظة من هذه المحافظ حاليًا على أموال إجمالية تُقدر بحوالي 95,300 دولار أمريكي. قبل تحويل الأموال، كان المهاجمون قد جمعوا حوالي 336,700 دولار أمريكي من الأصول الرقمية المسروقة.

تحتوي محفظة واحدة مرتبطة بالحملة على ما يقرب من 87000 دولار (600 SOL)، مع أكثر من 350 معاملة تعمل على تحويل الأموال إليها من عناوين مختلفة مخترقة.

من يقف وراء MassJacker؟

لا تزال هوية مجرمو الإنترنت وراء MassJacker مجهولة. ومع ذلك، وجد الباحثون أوجه تشابه بين MassJacker وبرنامج خبيث آخر يُسمى MassLogger، والذي يستخدم أيضًا ربط JIT لمقاومة التحليل. هذا يشير إلى وجود صلة محتملة بين التهديدين أو خلفية تطوير مشتركة.

ابق آمنًا: كيفية حماية نفسك

  • تجنب تنزيل البرامج المقرصنة - تعمل العديد من مواقع البرامج غير القانونية كمنصات لتوصيل البرامج الضارة.
  • استخدم برنامج أمان قويًا - يمكن لأداة الكشف عن البرامج الضارة الموثوقة أن تساعدك في اكتشاف التهديدات قبل أن تسبب الضرر.
  • التحقق مرتين من عناوين المحفظة - تأكد دائمًا من عناوين المحفظة يدويًا قبل تحويل العملة المشفرة.
  • حافظ على تحديث البرامج - تضمن التحديثات المنتظمة تصحيح الثغرات الأمنية، مما يقلل من خطر الإصابة بالبرامج الضارة.

مع استمرار مجرمو الإنترنت في تطوير تكتيكاتهم، فإن البقاء مطلعًا والحذر هو أفضل دفاع ضد التهديدات مثل MassJacker.

الشائع

الأكثر مشاهدة

جار التحميل...