Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa „MassJacker“ kenkėjiška programa

„MassJacker“ kenkėjiška programa

Autorius Mezo, Kenkėjiška programa, Vogtininkai
Versti į:
Lietuvių

Kibernetinio saugumo tyrėjai atskleidė naują kenkėjiškų programų kampaniją, skirtą vartotojams, ieškantiems piratinės programinės įrangos. Ataka pristato anksčiau nedokumentuotą kenkėjišką kirpimo programą, vadinamą MassJacker, skirtą pavogti kriptovaliutą manipuliuojant mainų srities duomenimis.

Kaip veikia „MassJacker“: „Clipper“ kenkėjiškų programų grėsmė

„Clipper“ kenkėjiška programa yra grėsminga kibernetinė grėsmė, kuri stebi aukos mainų sritį. Kai kompiuterio vartotojas nukopijuoja kriptovaliutos piniginės adresą, kenkėjiška programa jį pakeičia užpuoliko valdomu adresu, nukreipdama lėšas kibernetiniams nusikaltėliams, o ne numatytam gavėjui.

Pesktop.com: vartai į infekciją

Užsikrėtimo grandinė prasideda nuo Pesktop.com, svetainės, kuri slepiasi kaip piratinės programinės įrangos šaltinis. Tačiau vartotojai, atsisiunčiantys iš šios svetainės, nesąmoningai gauna įvairių tipų kenkėjiškų programų kartu su norima programine įranga.

Kai vartotojas paleidžia pradinį vykdomąjį failą, jis suaktyvina PowerShell scenarijų, kuris atsisiunčia botneto kenkėjišką programą, vadinamą Amadey, kartu su dviem .NET dvejetainiais failais, skirtais 32 ir 64 bitų architektūroms. Šie dvejetainiai failai, kodiniu pavadinimu PackerE, atsisiunčia užšifruotą DLL, kuris paleidžia „MassJacker“ naudingąjį apkrovą, įterpdamas jį į teisėtą „Windows“ procesą, žinomą kaip InstalUtil.exe.

Slaptas režimas: kaip „MassJacker“ išvengia aptikimo

Kad būtų išvengta aptikimo, kenkėjiška programa naudoja kelis užmaskavimo būdus, įskaitant:

  • „JIT Hooking“ : modifikuoja „Just-In-Time“ (JIT) kompiliaciją, kad būtų išvengta analizės.
  • Metaduomenų prieigos raktų atvaizdavimas : paslepia funkcijų iškvietimus, kad būtų sunkesnė analizė.
  • Pasirinktinis virtualios mašinos vykdymas : užuot paleisdamas standartinį .NET kodą, jis vykdo komandas per virtualią mašiną, kad būtų išvengta aptikimo.

Be to, „MassJacker“ turi savo apsaugos nuo derinimo mechanizmus, todėl saugumo tyrinėtojams dar sunkiau analizuoti.

Kaip MassJacker renka kriptovaliutą

Suaktyvinus, MassJacker nuolat stebi aukos mainų sritį. Jis nuskaito nukopijuotą tekstą naudodamas reguliariąsias išraiškas, kad nustatytų kriptovaliutų piniginės adresus. Jei randa atitiktį, kenkėjiška programa pakeičia nukopijuotą piniginės adresą adresu iš iš anksto atsisiųsto sąrašo, kurį kontroliuoja užpuolikai.

„MassJacker“ susisiekia su nuotoliniu serveriu, kad gautų atnaujintą piniginės adresų sąrašą ir užtikrintų, kad pavogtos lėšos ir toliau tekėtų į elektroninių nusikaltėlių kontroliuojamas sąskaitas.

Stulbinantis išpuolio mastas

Tyrėjai nustatė daugiau nei 778 531 unikalų piniginės adresą, susijusį su užpuolikais. Tačiau šiuo metu tik 423 iš šių piniginių turi lėšų, kurių bendra suma yra maždaug 95 300 USD. Prieš pervedant lėšas, užpuolikai buvo sukaupę apie 336 700 USD pavogto skaitmeninio turto.

Vienoje su kampanija susietoje piniginėje telpa maždaug 87 000 USD (600 SOL), o per 350 operacijų į ją perkeliamos lėšos iš įvairių pažeistų adresų.

Kas yra už MassJacker?

MassJacker kibernetinių nusikaltėlių tapatybė lieka nežinoma. Tačiau mokslininkai nustatė panašumų tarp MassJacker ir kitos kenkėjiškos programinės įrangos, vadinamos MassLogger, kuri taip pat naudoja JIT pajungimą, kad atsispirtų analizei. Tai rodo galimą ryšį tarp dviejų grėsmių arba bendro vystymosi pagrindo.

Būkite saugūs: kaip apsisaugoti

  • Venkite atsisiųsti piratinės programinės įrangos – daugelis nelegalios programinės įrangos svetainių yra kenkėjiškų programų pristatymo platformos.
  • Naudokite stiprią saugos programinę įrangą – patikimas apsaugos nuo kenkėjiškų programų aptikimo įrankis gali padėti pastebėti grėsmes, kol jos nepadarys žalos.
  • Dar kartą patikrinkite piniginės adresus – visada rankiniu būdu patikrinkite piniginės adresus prieš pervesdami kriptovaliutą.
  • Atnaujinkite programinę įrangą – reguliarūs naujinimai užtikrina, kad pažeidžiamumas yra pataisytas ir sumažinama kenkėjiškų programų užkrėtimo rizika.

Kibernetiniams nusikaltėliams toliau tobulinant savo taktiką, būti informuotam ir atsargiems yra geriausia apsauga nuo tokių grėsmių kaip MassJacker.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
24,920
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...