بدافزار MassJacker

محققان امنیت سایبری یک کمپین بدافزار جدید را نشان داده اند که کاربرانی را که در جستجوی نرم افزارهای دزدی هستند، هدف قرار می دهد. این حمله یک بدافزار کلیپر که قبلاً مستند نشده بود به نام MassJacker را ارائه می دهد که برای سرقت ارزهای دیجیتال با دستکاری داده های کلیپ بورد طراحی شده است.

MassJacker چگونه کار می کند: تهدید بدافزار Clipper

بدافزار Clipper یک تهدید سایبری تهدید کننده است که فعالیت های کلیپ بورد قربانی را رصد می کند. هنگامی که یک کاربر رایانه شخصی یک آدرس کیف پول ارز دیجیتال را کپی می کند، بدافزار آن را با یک آدرس کنترل شده توسط مهاجم جایگزین می کند و وجوه را به جای گیرنده مورد نظر به مجرمان سایبری هدایت می کند.

Pesktop.com: دروازه ای برای عفونت

زنجیره عفونت با Pesktop.com شروع می‌شود، وب‌سایتی که به عنوان منبعی برای نرم‌افزارهای غیرقانونی ظاهر می‌شود. اما کاربرانی که از این سایت دانلود می کنند ناآگاهانه انواع بدافزار را به همراه نرم افزار مورد نظر خود دریافت می کنند.

هنگامی که کاربر فایل اجرایی اولیه را اجرا می کند، یک اسکریپت PowerShell را راه اندازی می کند که یک بدافزار بات نت به نام Amadey را همراه با دو باینری دات نت که برای معماری های 32 بیتی و 64 بیتی طراحی شده اند، دانلود می کند. این فایل‌های باینری، با نام رمز PackerE، یک DLL رمزگذاری شده را دانلود می‌کنند، که سپس بار MassJacker را با تزریق آن به فرآیند قانونی ویندوز به نام InstalUtil.exe راه‌اندازی می‌کند.

حالت مخفی کاری: چگونه MassJacker از تشخیص فرار می کند

برای جلوگیری از شناسایی، بدافزار از چندین تکنیک مبهم سازی استفاده می کند، از جمله:

• JIT Hooking : کامپایل Just-In-Time (JIT) را برای فرار از تجزیه و تحلیل اصلاح می کند.
• Mapping Token Metadata : فراخوانی های تابع را پنهان می کند تا تجزیه و تحلیل را سخت تر کند.
• اجرای ماشین مجازی سفارشی : به جای اجرای کد دات نت استاندارد، دستورات را از طریق ماشین مجازی برای جلوگیری از شناسایی اجرا می کند.

علاوه بر این، MassJacker دارای مکانیسم‌های ضد اشکال‌زدایی خاص خود است که تجزیه و تحلیل آن را برای محققان امنیتی دشوارتر می‌کند.

MassJacker چگونه ارزهای دیجیتال را جمع آوری می کند

پس از فعال شدن، MassJacker به طور مداوم کلیپ بورد قربانی را زیر نظر دارد. متن کپی شده را با استفاده از عبارات منظم اسکن می کند تا آدرس کیف پول ارزهای دیجیتال را شناسایی کند. اگر بدافزار موردی را پیدا کند، آدرس کیف پول کپی شده را با آدرسی از یک لیست از پیش دانلود شده که توسط مهاجمان کنترل می شود جایگزین می کند.

MassJacker با یک سرور راه دور تماس می گیرد تا لیست به روز شده آدرس های کیف پول را بازیابی کند و اطمینان حاصل کند که وجوه دزدیده شده به حساب های کنترل شده توسط مجرمان سایبری جریان می یابد.

مقیاس سرسام آور حمله

محققان بیش از 778531 آدرس کیف پول منحصر به فرد مرتبط با مهاجمان را شناسایی کرده اند. با این حال، تنها 423 مورد از این کیف پول ها در حال حاضر دارای وجوهی به ارزش 95300 دلار هستند. قبل از انتقال وجوه، مهاجمان حدود 336700 دلار دارایی دیجیتال دزدیده شده را جمع آوری کرده بودند.

یک کیف پول منفرد مرتبط با کمپین تقریباً 87000 دلار (600 SOL) دارد که بیش از 350 تراکنش از آدرس‌های مختلف به خطر افتاده است.

چه کسی پشت MassJacker است؟

هویت مجرمان سایبری پشت MassJacker ناشناخته است. با این حال، محققان شباهت هایی بین MassJacker و بدافزار دیگری به نام MassLogger پیدا کرده اند که از قلاب JIT برای مقاومت در برابر تجزیه و تحلیل استفاده می کند. این نشان دهنده ارتباط احتمالی بین این دو تهدید یا پیشینه توسعه مشترک است.

ایمن بمانید: چگونه از خود محافظت کنید

• از دانلود نرم افزار دزدان دریایی اجتناب کنید – بسیاری از سایت های نرم افزاری غیرقانونی به عنوان پلتفرم های تحویل بدافزار عمل می کنند.
• از نرم افزار امنیتی قوی استفاده کنید – یک ابزار قابل اعتماد شناسایی ضد بدافزار می تواند به شناسایی تهدیدها قبل از ایجاد آسیب کمک کند.
• آدرس های کیف پول را دوبار بررسی کنید – همیشه قبل از انتقال ارز دیجیتال، آدرس کیف پول را به صورت دستی بررسی کنید.
• نرم افزار را به روز نگه دارید – به روز رسانی های منظم تضمین می کند که آسیب پذیری ها وصله شده اند و خطر ابتلا به بدافزار را کاهش می دهند.

همانطور که مجرمان سایبری به تکامل تاکتیک های خود ادامه می دهند، آگاه بودن و محتاط ماندن بهترین دفاع در برابر تهدیداتی مانند MassJacker است.