MassJacker Malware
Cybersikkerhetsforskere har avslørt en ny malware-kampanje rettet mot brukere som søker etter piratkopiert programvare. Angrepet leverer en tidligere udokumentert clipper malware kalt MassJacker, designet for å stjele kryptovaluta ved å manipulere utklippstavledata.
Innholdsfortegnelse
Hvordan MassJacker Works: The Clipper Malware Threat
Clipper malware er en truende cybertrussel som overvåker et offers utklippstavleaktivitet. Når en PC-bruker kopierer en kryptovaluta-lommebokadresse, erstatter skadelig programvare den med en angriperkontrollert adresse, og omdirigerer midler til nettkriminelle i stedet for den tiltenkte mottakeren.
Pesktop.com: En inngangsport til infeksjon
Infeksjonskjeden starter med Pesktop.com, et nettsted som maskerer seg som en kilde for piratkopiert programvare. Imidlertid mottar brukere som laster ned fra dette nettstedet uvitende ulike typer skadelig programvare sammen med ønsket programvare.
Når en bruker kjører den første kjørbare filen, utløser den et PowerShell-skript som laster ned en botnett-skadevare kalt Amadey, sammen med to .NET-binærfiler designet for både 32-biters og 64-biters arkitekturer. Disse binærfilene, kodenavnet PackerE, laster ned en kryptert DLL, som deretter starter MassJacker-nyttelasten ved å injisere den i en legitim Windows-prosess kjent som InstalUtil.exe.
Stealth Mode: Hvordan MassJacker unngår deteksjon
For å unngå oppdagelse bruker skadelig programvare flere tilsløringsteknikker, inkludert:
- JIT Hooking : Modifiserer Just-In-Time (JIT) kompilering for å unngå analyse.
- Metadata Token Mapping : Skjuler funksjonskall for å gjøre analysen vanskeligere.
- Custom Virtual Machine Execution : I stedet for å kjøre standard .NET-kode, utfører den kommandoer gjennom en virtuell maskin for å forhindre gjenkjenning.
I tillegg kommer MassJacker med sine egne anti-feilsøkingsmekanismer, noe som gjør det enda vanskeligere for sikkerhetsforskere å analysere.
Hvordan MassJacker samler inn kryptovaluta
Når den er aktiv, overvåker MassJacker kontinuerlig et offers utklippstavle. Den skanner kopiert tekst ved å bruke regulære uttrykk for å oppdage cryptocurrency-lommebokadresser. Hvis den finner et samsvar, erstatter skadelig programvare den kopierte lommebokadressen med en fra en forhåndsnedlastet liste kontrollert av angriperne.
MassJacker kontakter en ekstern server for å hente en oppdatert liste over lommebokadresser, for å sikre at stjålne midler fortsetter å strømme inn på kontoer kontrollert av nettkriminelle.
Angrepets svimlende omfang
Forskere har identifisert over 778 531 unike lommebokadresser knyttet til angriperne. Imidlertid har bare 423 av disse lommebøkene for øyeblikket midler på til sammen ca $95 300. Før midler ble overført, hadde angriperne samlet rundt 336 700 dollar i stjålne digitale eiendeler.
En enkelt lommebok knyttet til kampanjen rommer omtrent $87 000 (600 SOL), med over 350 transaksjoner som overfører midler fra forskjellige kompromitterte adresser.
Hvem står bak MassJacker?
Identiteten til nettkriminelle bak MassJacker er fortsatt ukjent. Imidlertid har forskere funnet likheter mellom MassJacker og en annen skadelig programvare kalt MassLogger, som også bruker JIT-hooking for å motstå analyse. Dette antyder en mulig sammenheng mellom de to truslene eller en delt utviklingsbakgrunn.
Hold deg trygg: Slik beskytter du deg selv
- Unngå å laste ned piratkopiert programvare – Mange ulovlige programvaresider fungerer som leveringsplattformer for skadelig programvare.
- Bruk sterk sikkerhetsprogramvare – Et pålitelig verktøy for oppdagelse av skadelig programvare kan hjelpe med å oppdage trusler før de forårsaker skade.
- Dobbeltsjekk lommebokadresser – Verifiser alltid lommebokadresser manuelt før du overfører kryptovaluta.
- Hold programvaren oppdatert – Regelmessige oppdateringer sikrer at sårbarheter blir rettet, noe som reduserer risikoen for skadelig programvare.
Ettersom nettkriminelle fortsetter å utvikle taktikken sin, er det å holde seg informert og forsiktig det beste forsvaret mot trusler som MassJacker.
