MassJacker Malware
Výzkumníci v oblasti kybernetické bezpečnosti odhalili novou malwarovou kampaň zaměřenou na uživatele hledající pirátský software. Útok přináší dříve nezdokumentovaný clipper malware nazvaný MassJacker, navržený ke krádeži kryptoměny manipulací s daty schránky.
Obsah
Jak MassJacker funguje: Clipper Malware Threat
Clipper malware je hrozivá kybernetická hrozba, která monitoruje aktivitu schránky oběti. Když uživatel PC zkopíruje adresu kryptoměnové peněženky, malware ji nahradí adresou kontrolovanou útočníkem a přesměruje finanční prostředky na kyberzločince místo zamýšleného příjemce.
Pesktop.com: Brána k infekci
Infekční řetězec začíná webem Pesktop.com, který se vydává za zdroj pirátského softwaru. Uživatelé stahující z tohoto webu však nevědomky dostávají různé typy malwaru spolu s požadovaným softwarem.
Jakmile uživatel spustí počáteční spustitelný soubor, spustí se skript PowerShell, který stáhne malware botnetu s názvem Amadey spolu se dvěma binárními soubory .NET navrženými pro 32bitové i 64bitové architektury. Tyto binární soubory s kódovým označením PackerE stahují zašifrovanou knihovnu DLL, která pak spouští užitečné zatížení MassJacker tím, že je vloží do legitimního procesu Windows známého jako InstalUtil.exe.
Stealth Mode: Jak se MassJacker vyhýbá detekci
Aby se zabránilo odhalení, malware využívá několik technik znejasňování, včetně:
- JIT Hooking : Upravuje kompilaci Just-In-Time (JIT), aby se vyhnula analýze.
- Mapování tokenů metadat : Skrývá volání funkcí, aby byla analýza obtížnější.
- Vlastní spouštění virtuálního stroje : Místo spouštění standardního kódu .NET spouští příkazy prostřednictvím virtuálního stroje, aby se zabránilo detekci.
MassJacker navíc přichází s vlastními mechanismy proti ladění, takže je pro bezpečnostní výzkumníky ještě těžší analyzovat.
Jak MassJacker sbírá kryptoměny
Jakmile je MassJacker aktivní, nepřetržitě monitoruje schránku oběti. Skenuje zkopírovaný text pomocí regulárních výrazů, aby zjistil adresy kryptoměnových peněženek. Pokud najde shodu, malware nahradí zkopírovanou adresu peněženky adresou z předem staženého seznamu kontrolovaného útočníky.
MassJacker kontaktuje vzdálený server, aby získal aktualizovaný seznam adres peněženek a zajistil, že odcizené prostředky budou nadále proudit na účty kontrolované kyberzločinci.
Ohromující měřítko útoku
Výzkumníci identifikovali přes 778 531 jedinečných adres peněženek spojených s útočníky. Pouze 423 z těchto peněženek však v současné době drží finanční prostředky v celkové výši přibližně 95 300 $. Než byly finanční prostředky převedeny, útočníci nashromáždili kolem 336 700 $ v odcizených digitálních aktivech.
Jedna peněženka spojená s kampaní obsahuje přibližně 87 000 USD (600 SOL), přičemž do ní přivádí více než 350 transakcí z různých kompromitovaných adres.
Kdo stojí za MassJackerem?
Identita kyberzločinců za MassJackerem zůstává neznámá. Vědci však našli podobnosti mezi MassJackerem a jiným malwarem zvaným MassLogger, který také používá JIT hákování, aby odolal analýze. To naznačuje možné spojení mezi těmito dvěma hrozbami nebo sdílené vývojové pozadí.
Zůstaňte v bezpečí: Jak se chránit
- Vyhněte se stahování pirátského softwaru – Mnoho stránek s nelegálním softwarem slouží jako platformy pro doručování malwaru.
- Používejte silný bezpečnostní software – Spolehlivý nástroj pro detekci malwaru může pomoci odhalit hrozby dříve, než způsobí škodu.
- Dvojitá kontrola adres peněženky – Před převodem kryptoměny vždy ručně ověřte adresy peněženky.
- Udržujte software aktualizovaný – Pravidelné aktualizace zajišťují opravu zranitelností a snižují riziko napadení malwarem.
Vzhledem k tomu, že kyberzločinci pokračují ve vývoji své taktiky, nejlepší obranou proti hrozbám, jako je MassJacker, je zůstat informovaný a obezřetný.
