MassJacker Malware

Cybersikkerhedsforskere har afsløret en ny malware-kampagne rettet mod brugere, der søger efter piratkopieret software. Angrebet leverer en tidligere udokumenteret clipper-malware kaldet MassJacker, designet til at stjæle kryptovaluta ved at manipulere udklipsholderdata.

Sådan fungerer MassJacker: The Clipper Malware Threat

Clipper malware er en truende cybertrussel, der overvåger et offers udklipsholderaktivitet. Når en pc-bruger kopierer en cryptocurrency-pungadresse, erstatter malware den med en angriberkontrolleret adresse, der omdirigerer penge til cyberkriminelle i stedet for den tilsigtede modtager.

Pesktop.com: En gateway til infektion

Infektionskæden starter med Pesktop.com, et websted, der maskerer sig som en kilde til piratkopieret software. Men brugere, der downloader fra dette websted, modtager ubevidst forskellige typer malware sammen med deres ønskede software.

Når en bruger kører den indledende eksekverbare, udløser den et PowerShell-script, der downloader en botnet-malware kaldet Amadey, sammen med to .NET-binære filer designet til både 32-bit og 64-bit arkitekturer. Disse binære filer, kodenavnet PackerE, downloader en krypteret DLL, som derefter starter MassJacker-nyttelasten ved at injicere den i en legitim Windows-proces kendt som InstalUtil.exe.

Stealth Mode: Hvordan MassJacker undgår detektion

For at undgå opdagelse anvender malwaren flere sløringsteknikker, herunder:

• JIT Hooking : Ændrer Just-In-Time (JIT) kompilering for at undgå analyse.
• Metadata Token Mapping : Skjuler funktionskald for at gøre analysen sværere.
• Custom Virtual Machine Execution : I stedet for at køre standard .NET-kode, udfører den kommandoer gennem en virtuel maskine for at forhindre detektion.

Derudover kommer MassJacker med sine egne anti-debugging-mekanismer, hvilket gør det endnu sværere for sikkerhedsforskere at analysere.

Hvordan MassJacker indsamler kryptovaluta

Når den er aktiv, overvåger MassJacker løbende et offers udklipsholder. Den scanner kopieret tekst ved hjælp af regulære udtryk for at opdage cryptocurrency-pungadresser. Hvis den finder et match, erstatter malwaren den kopierede tegnebogsadresse med en fra en forhåndsdownloadet liste, som kontrolleres af angriberne.

MassJacker kontakter en fjernserver for at hente en opdateret liste over tegnebogsadresser, hvilket sikrer, at stjålne penge fortsætter med at strømme ind på konti, der kontrolleres af cyberkriminelle.

Angrebets svimlende omfang

Forskere har identificeret over 778.531 unikke tegnebogsadresser forbundet med angriberne. Men kun 423 af disse tegnebøger har i øjeblikket midler på i alt ca. $95.300. Inden penge blev overført, havde angriberne samlet omkring $336.700 i stjålne digitale aktiver.

En enkelt tegnebog, der er knyttet til kampagnen, rummer cirka 87.000 $ (600 SOL), med over 350 transaktioner, der overfører penge til den fra forskellige kompromitterede adresser.

Hvem står bag MassJacker?

Identiteten af de cyberkriminelle bag MassJacker er stadig ukendt. Forskere har dog fundet ligheder mellem MassJacker og en anden malware kaldet MassLogger, som også bruger JIT hooking til at modstå analyser. Dette tyder på en mulig sammenhæng mellem de to trusler eller en fælles udviklingsbaggrund.

Hold dig sikker: Sådan beskytter du dig selv

• Undgå at downloade piratkopieret software - Mange ulovlige softwarewebsteder fungerer som leveringsplatforme for malware.
• Brug stærk sikkerhedssoftware – Et pålideligt anti-malware-detektionsværktøj kan hjælpe med at opdage trusler, før de forårsager skade.
• Dobbelttjek tegnebogsadresser – Bekræft altid tegnebogsadresser manuelt, før du overfører kryptovaluta.
• Hold software opdateret – Regelmæssige opdateringer sikrer, at sårbarheder bliver rettet, hvilket reducerer risikoen for malware-infektioner.

Mens cyberkriminelle fortsætter med at udvikle deres taktik, er det bedste forsvar mod trusler som MassJacker at holde sig informeret og forsigtig.