MassJackeri pahavara
Küberjulgeoleku teadlased on paljastanud uue pahavarakampaania, mis on suunatud piraattarkvara otsivatele kasutajatele. Rünnak toob kaasa varem dokumenteerimata klipperi pahavara MassJacker, mis on loodud lõikepuhvri andmetega manipuleerides krüptovaluutat varastada.
Sisukord
Kuidas MassJacker töötab: Clipperi pahavara oht
Clipperi pahavara on ähvardav küberoht, mis jälgib ohvri lõikelaua tegevust. Kui arvutikasutaja kopeerib krüptoraha rahakoti aadressi, asendab pahavara selle ründaja kontrollitud aadressiga, suunates raha kavandatud adressaadi asemel küberkurjategijatele.
Pesktop.com: värav nakkusele
Nakkusahel algab veebisaidiga Pesktop.com, mis maskeerub piraattarkvara allikana. Sellelt saidilt allalaadivad kasutajad saavad aga teadmatult erinevat tüüpi pahavara koos soovitud tarkvaraga.
Kui kasutaja käivitab esialgse käivitatava faili, käivitab see PowerShelli skripti, mis laadib alla botneti pahavara nimega Amadey koos kahe .NET-i binaarfailiga, mis on loodud nii 32-bitise kui ka 64-bitise arhitektuuri jaoks. Need kahendfailid, koodnimega PackerE, laadivad alla krüptitud DLL-i, mis seejärel käivitab MassJackeri kasuliku koormuse, sisestades selle seaduslikku Windowsi protsessi, mida nimetatakse InstalUtil.exe-ks.
Salarežiim: kuidas MassJacker tuvastamisest kõrvale hiilib
Tuvastamise vältimiseks kasutab pahavara mitut hägustamistehnikat, sealhulgas:
- JIT Hooking : muudab analüüsist kõrvalehoidmiseks just-In-Time (JIT) koostamist.
- Metaandmete Token Mapping : varjab funktsioonikutsed, et muuta analüüs raskemaks.
- Kohandatud virtuaalmasina täitmine : standardse .NET-koodi käivitamise asemel täidab see käske tuvastamise vältimiseks virtuaalmasina kaudu.
Lisaks on MassJackeril oma silumisvastased mehhanismid, mis muudab turbeteadlaste analüüsimise veelgi raskemaks.
Kuidas MassJacker krüptovaluutat kogub
Kui MassJacker on aktiivne, jälgib ta pidevalt ohvri lõikepuhvrit. See skannib kopeeritud teksti regulaaravaldiste abil, et tuvastada krüptovaluuta rahakoti aadressid. Kui see leiab vaste, asendab pahavara kopeeritud rahakoti aadressi ühega, mis pärineb eelnevalt allalaaditud loendist, mida kontrollivad ründajad.
MassJacker võtab ühendust kaugserveriga, et hankida värskendatud rahakoti aadresside loend, tagades, et varastatud raha liigub jätkuvalt küberkurjategijate kontrollitavatele kontodele.
Rünnaku vapustav ulatus
Teadlased on tuvastanud üle 778 531 ründajatega seotud unikaalse rahakoti aadressi. Kuid ainult 423 neist rahakotist hoiab praegu raha kogusummas umbes 95 300 dollarit. Enne raha väljakandmist olid ründajad kogunud umbes 336 700 dollarit varastatud digitaalset vara.
Üks kampaaniaga seotud rahakott mahutab ligikaudu 87 000 dollarit (600 SOL-i), üle 350 tehinguga suunatakse sinna raha erinevatelt ohustatud aadressidelt.
Kes on MassJackeri taga?
MassJackeri taga olevate küberkurjategijate isik on teadmata. Teadlased on aga leidnud sarnasusi MassJackeri ja teise pahavara, nimega MassLogger, vahel, mis samuti kasutab analüüsile vastu seista JIT-i haakimist. See viitab võimalikule seosele kahe ohu vahel või ühisele arendustaustale.
Olge ohutu: kuidas ennast kaitsta
- Vältige piraattarkvara allalaadimist – paljud ebaseaduslikud tarkvarasaidid toimivad pahavara edastamisplatvormidena.
- Kasutage tugevat turbetarkvara – usaldusväärne pahavaravastane tööriist aitab ohte märgata enne, kui need kahju tekitavad.
- Kontrollige rahakoti aadresse uuesti – enne krüptovaluuta ülekandmist kontrollige rahakoti aadresse alati käsitsi.
- Hoidke tarkvara ajakohasena – regulaarsed värskendused tagavad haavatavuste parandamise, vähendades pahavaraga nakatumise ohtu.
Kuna küberkurjategijad jätkavad oma taktikate arendamist, on kursis ja ettevaatlik olemine parim kaitse selliste ohtude vastu nagu MassJacker.
