תוכנה זדונית של MassJacker

חוקרי אבטחת סייבר חשפו קמפיין תוכנה זדונית חדש המכוון למשתמשים המחפשים תוכנה פיראטית. המתקפה מספקת תוכנה זדונית לא מתועדת בעבר בשם MassJacker, שנועדה לגנוב מטבעות קריפטוגרפיים על ידי מניפולציה של נתוני הלוח.

איך MassJacker עובד: האיום על תוכנות זדוניות של Clipper

תוכנה זדונית Clipper היא איום סייבר מאיים המנטר את פעילות הלוח של הקורבן. כאשר משתמש מחשב מעתיק כתובת של ארנק קריפטו, התוכנה הזדונית מחליפה אותה בכתובת הנשלטת על ידי תוקף, ומפנה כספים לפושעי סייבר במקום לנמען המיועד.

Pesktop.com: שער לזיהום

שרשרת ההדבקה מתחילה ב-Pesktop.com, אתר שמתחזה למקור לתוכנה פיראטית. עם זאת, משתמשים שמורידים מאתר זה מקבלים מבלי לדעת סוגים שונים של תוכנות זדוניות יחד עם התוכנה הרצויה להם.

ברגע שמשתמש מריץ את קובץ ההפעלה הראשוני, הוא מפעיל סקריפט PowerShell שמוריד תוכנת זדונית בוטנט בשם Amadey, יחד עם שני קבצי .NET בינאריים המיועדים לארכיטקטורות של 32 סיביות ו-64 סיביות כאחד. קבצים בינאריים אלה, בשם הקוד PackerE, מורידים DLL מוצפן, אשר לאחר מכן משיק את מטען MassJacker על ידי הזרקתו לתהליך לגיטימי של Windows הידוע בשם InstalUtil.exe.

מצב התגנבות: כיצד MassJacker מתחמק מזיהוי

כדי להימנע מזיהוי, התוכנה הזדונית משתמשת בטכניקות ערפול מרובות, כולל:

• JIT Hooking : משנה הידור של Just-In-Time (JIT) כדי להתחמק מניתוח.
• מיפוי אסימוני מטא נתונים : מסתיר קריאות פונקציה כדי להקשות על הניתוח.
• ביצוע מכונה וירטואלית מותאמת אישית : במקום להריץ קוד .NET סטנדרטי, הוא מבצע פקודות דרך מכונה וירטואלית כדי למנוע זיהוי.

בנוסף, MassJacker מגיע עם מנגנונים משלה נגד איתור באגים, מה שמקשה עוד יותר על חוקרי אבטחה לנתח.

איך MassJacker אוספת מטבעות קריפטו

ברגע שהוא פעיל, MassJacker עוקב ברציפות אחר לוח הכתיבה של הקורבן. הוא סורק טקסט מועתק באמצעות ביטויים רגולריים כדי לזהות כתובות של ארנק קריפטו. אם הוא מוצא התאמה, התוכנה הזדונית מחליפה את כתובת הארנק המועתקת בכתובת מתוך רשימה שהורדה מראש הנשלטת על ידי התוקפים.

MassJacker יוצר קשר עם שרת מרוחק כדי לאחזר רשימה מעודכנת של כתובות ארנק, מה שמבטיח שהכספים הגנובים ימשיכו לזרום לחשבונות הנשלטים על ידי פושעי סייבר.

קנה המידה המדהים של המתקפה

חוקרים זיהו למעלה מ-778,531 כתובות ארנק ייחודיות הקשורות לתוקפים. עם זאת, רק 423 מהארנקים הללו מכילים כיום כספים בסך של כ-95,300 דולר. לפני העברת הכספים, התוקפים צברו כ-336,700 דולר בנכסים דיגיטליים גנובים.

ארנק בודד המקושר לקמפיין מכיל כ-$87,000 (600 SOL), כאשר למעלה מ-350 עסקאות מזרימות אליו כספים מכתובות שונות שנפרצו.

מי עומד מאחורי MassJacker?

זהותם של פושעי הסייבר מאחורי MassJacker נותרה עלומה. עם זאת, חוקרים מצאו קווי דמיון בין MassJacker לבין תוכנה זדונית אחרת בשם MassLogger, שגם משתמשת ב-JIT hooking כדי להתנגד לניתוח. זה מצביע על קשר אפשרי בין שני האיומים או על רקע פיתוח משותף.

הישאר בטוח: איך להגן על עצמך

• הימנע מהורדת תוכנה פיראטית - אתרי תוכנה לא חוקיים רבים משמשים כפלטפורמות מסירה עבור תוכנות זדוניות.
• השתמש בתוכנת אבטחה חזקה - כלי אמין לזיהוי נגד תוכנות זדוניות יכול לעזור לזהות איומים לפני שהם גורמים נזק.
• בדוק פעמיים את כתובות הארנק - אמת תמיד ידנית את כתובות הארנק לפני העברת מטבעות קריפטוגרפיים.
• שמור את התוכנה מעודכנת - עדכונים שוטפים מבטיחים תיקון פגיעויות, ומפחיתים את הסיכון להדבקות בתוכנה זדונית.

בעוד פושעי סייבר ממשיכים לפתח את הטקטיקה שלהם, להישאר מעודכן וזהיר היא ההגנה הטובה ביותר מפני איומים כמו MassJacker.