MassJacker ļaunprātīga programmatūra
Kiberdrošības pētnieki ir atklājuši jaunu ļaunprātīgas programmatūras kampaņu, kuras mērķauditorija ir lietotāji, kuri meklē pirātisku programmatūru. Uzbrukums nodrošina iepriekš nedokumentētu klipera ļaunprātīgu programmatūru MassJacker, kas paredzēta kriptovalūtas nozagšanai, manipulējot starpliktuvē.
Satura rādītājs
Kā darbojas MassJacker: Clipper ļaunprātīgas programmatūras draudi
Clipper ļaunprātīga programmatūra ir draudošs kiberdrauds, kas uzrauga upura starpliktuves darbības. Kad datora lietotājs kopē kriptovalūtas maka adresi, ļaunprogrammatūra to aizstāj ar uzbrucēja kontrolētu adresi, novirzot līdzekļus kibernoziedzniekiem, nevis paredzētajam saņēmējam.
Pesktop.com: vārteja uz infekciju
Infekcijas ķēde sākas ar vietni Pesktop.com, kas tiek maskēta kā pirātiskas programmatūras avots. Tomēr lietotāji, kas lejupielādē no šīs vietnes, neapzināti saņem dažāda veida ļaunprātīgu programmatūru kopā ar vēlamo programmatūru.
Kad lietotājs palaiž sākotnējo izpildāmo failu, tas aktivizē PowerShell skriptu, kas lejupielādē robottīkla ļaunprātīgu programmatūru Amadey, kā arī divus .NET bināros failus, kas paredzēti gan 32 bitu, gan 64 bitu arhitektūrām. Šie binārie faili ar koda nosaukumu PackerE lejupielādē šifrētu DLL, kas pēc tam palaiž MassJacker lietderīgo slodzi, ievadot to likumīgā Windows procesā, kas pazīstams kā InstalUtil.exe.
Stealth Mode: kā MassJacker izvairās no atklāšanas
Lai izvairītos no atklāšanas, ļaunprātīga programmatūra izmanto vairākas apmulsināšanas metodes, tostarp:
- JIT Hooking : modificē Just-In-Time (JIT) kompilāciju, lai izvairītos no analīzes.
- Metadatu marķieru kartēšana : slēpj funkciju izsaukumus, lai padarītu analīzi grūtāku.
- Pielāgota virtuālās mašīnas izpilde : tā vietā, lai palaistu standarta .NET kodu, tā izpilda komandas, izmantojot virtuālo mašīnu, lai novērstu atklāšanu.
Turklāt MassJacker ir aprīkots ar saviem pretatkļūdošanas mehānismiem, kas drošības pētniekiem padara to vēl grūtāk analizēt.
Kā MassJacker ievāc kriptovalūtu
Kad MassJacker ir aktivizēts, tas nepārtraukti uzrauga upura starpliktuvi. Tas skenē kopētu tekstu, izmantojot regulāras izteiksmes, lai noteiktu kriptovalūtas maka adreses. Ja tā atrod atbilstību, ļaunprogrammatūra aizstāj nokopēto maka adresi ar vienu no iepriekš lejupielādētā saraksta, kuru kontrolē uzbrucēji.
MassJacker sazinās ar attālo serveri, lai izgūtu atjauninātu maku adrešu sarakstu, nodrošinot, ka nozagtie līdzekļi turpina ieplūst kibernoziedznieku kontrolētos kontos.
Satriecošais uzbrukuma mērogs
Pētnieki ir identificējuši vairāk nekā 778 531 unikālu maku adresi, kas saistīta ar uzbrucējiem. Tomēr tikai 423 no šiem makiem pašlaik ir līdzekļi aptuveni 95 300 USD vērtībā. Pirms līdzekļu pārskaitīšanas uzbrucēji bija uzkrājuši aptuveni 336 700 USD nozagtos digitālajos aktīvos.
Vienā ar kampaņu saistītajā makā ir aptuveni 87 000 ASV dolāru (600 SOL), un tajā ir veikti vairāk nekā 350 darījumi, kuros līdzekļi tiek novirzīti no dažādām apdraudētām adresēm.
Kas stāv aiz MassJacker?
MassJacker kibernoziedznieku identitāte joprojām nav zināma. Tomēr pētnieki ir atklājuši līdzības starp MassJacker un citu ļaunprātīgu programmatūru MassLogger, kas arī izmanto JIT piesaisti, lai pretotos analīzei. Tas liecina par iespējamu saistību starp abiem draudiem vai kopīgu izstrādes fonu.
Esiet drošībā: kā pasargāt sevi
- Izvairieties no pirātiskas programmatūras lejupielādes — daudzas nelegālas programmatūras vietnes kalpo kā ļaunprātīgas programmatūras piegādes platformas.
- Izmantojiet spēcīgu drošības programmatūru — uzticams ļaunprātīgas programmatūras noteikšanas rīks var palīdzēt pamanīt draudus, pirms tie nodara kaitējumu.
- Vēlreiz pārbaudiet maka adreses – pirms kriptovalūtas pārsūtīšanas vienmēr manuāli pārbaudiet seifa adreses.
- Programmatūras atjaunināšana — regulāri atjauninājumi nodrošina ievainojamību aizlāpīšanu, samazinot ļaunprātīgas programmatūras inficēšanās risku.
Tā kā kibernoziedznieki turpina attīstīt savu taktiku, būt informētam un piesardzīgiem ir labākā aizsardzība pret tādiem draudiem kā MassJacker.
