Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Oprogramowanie szpiegujące MassJacker

Oprogramowanie szpiegujące MassJacker

Do Mezo w Złośliwe oprogramowanie, Złodzieje
Przetłumacz na:
Polski

Badacze cyberbezpieczeństwa ujawnili nową kampanię malware skierowaną na użytkowników poszukujących pirackiego oprogramowania. Atak dostarcza wcześniej nieudokumentowanego malware clipper o nazwie MassJacker, zaprojektowanego w celu kradzieży kryptowaluty poprzez manipulowanie danymi schowka.

Jak działa MassJacker: Zagrożenie złośliwym oprogramowaniem Clipper

Malware Clipper to groźne cyberzagrożenie, które monitoruje aktywność ofiary w schowku. Gdy użytkownik komputera kopiuje adres portfela kryptowaluty, malware zastępuje go adresem kontrolowanym przez atakującego, przekierowując środki do cyberprzestępców zamiast do zamierzonego odbiorcy.

Pesktop.com: Brama do infekcji

Łańcuch infekcji zaczyna się od Pesktop.com, strony internetowej podszywającej się pod źródło pirackiego oprogramowania. Jednak użytkownicy pobierający z tej strony nieświadomie otrzymują różne rodzaje złośliwego oprogramowania wraz z pożądanym oprogramowaniem.

Gdy użytkownik uruchomi początkowy plik wykonywalny, uruchamia skrypt PowerShell, który pobiera złośliwe oprogramowanie typu botnet o nazwie Amadey, wraz z dwoma plikami binarnymi .NET przeznaczonymi zarówno dla architektur 32-bitowych, jak i 64-bitowych. Te pliki binarne o nazwie kodowej PackerE pobierają zaszyfrowaną bibliotekę DLL, która następnie uruchamia ładunek MassJacker, wstrzykując go do legalnego procesu systemu Windows znanego jako InstalUtil.exe.

Tryb ukrycia: jak MassJacker unika wykrycia

Aby uniknąć wykrycia, złośliwe oprogramowanie stosuje liczne techniki zaciemniania, w tym:

  • JIT Hooking : modyfikuje kompilację Just-In-Time (JIT) w celu uniknięcia analizy.
  • Mapowanie tokenów metadanych : Ukrywa wywołania funkcji, aby utrudnić analizę.
  • Niestandardowe wykonywanie maszyn wirtualnych : Zamiast uruchamiać standardowy kod .NET, wykonuje polecenia za pośrednictwem maszyny wirtualnej, aby zapobiec wykryciu.

Ponadto MassJacker posiada własny mechanizm zapobiegający debugowaniu, co jeszcze bardziej utrudnia analizę go przez badaczy zajmujących się bezpieczeństwem.

Jak MassJacker zbiera kryptowalutę

Po aktywacji MassJacker stale monitoruje schowek ofiary. Skanuje skopiowany tekst za pomocą wyrażeń regularnych, aby wykryć adresy portfeli kryptowalut. Jeśli znajdzie odpowiednik, malware zastępuje skopiowany adres portfela jednym z wcześniej pobranej listy kontrolowanej przez atakujących.

MassJacker kontaktuje się ze zdalnym serwerem w celu pobrania zaktualizowanej listy adresów portfeli, co zapewnia dalszy przepływ skradzionych środków na konta kontrolowane przez cyberprzestępców.

Oszałamiająca skala ataku

Badacze zidentyfikowali ponad 778 531 unikalnych adresów portfeli powiązanych z atakującymi. Jednak tylko 423 z tych portfeli obecnie przechowuje środki o łącznej wartości około 95 300 USD. Zanim środki zostały przelane, atakujący zgromadzili około 336 700 USD w skradzionych aktywach cyfrowych.

Pojedynczy portfel powiązany z kampanią zawiera około 87 000 USD (600 SOL), a środki trafiają do niego w wyniku ponad 350 transakcji z różnych przejętych adresów.

Kto stoi za MassJackerem?

Tożsamość cyberprzestępców stojących za MassJackerem pozostaje nieznana. Jednak badacze odkryli podobieństwa między MassJackerem a innym złośliwym oprogramowaniem o nazwie MassLogger, które również wykorzystuje hakowanie JIT, aby oprzeć się analizie. Sugeruje to możliwe powiązanie między tymi dwoma zagrożeniami lub wspólne tło programistyczne.

Zachowaj bezpieczeństwo: Jak się chronić

  • Unikaj pobierania pirackiego oprogramowania – Wiele witryn z nielegalnym oprogramowaniem stanowi platformy rozprzestrzeniania złośliwego oprogramowania.
  • Stosuj skuteczne oprogramowanie zabezpieczające – Niezawodne narzędzie do wykrywania złośliwego oprogramowania może pomóc wykryć zagrożenia zanim wyrządzą szkody.
  • Dokładnie sprawdź adresy portfeli – Zawsze ręcznie weryfikuj adresy portfeli przed transferem kryptowaluty.
  • Aktualizuj oprogramowanie – regularne aktualizacje zapewniają łatanie luk w zabezpieczeniach, zmniejszając ryzyko infekcji złośliwym oprogramowaniem.

W miarę jak cyberprzestępcy wciąż udoskonalają swoje taktyki, najlepszą obroną przed zagrożeniami takimi jak MassJacker jest pozostawanie poinformowanym i ostrożnym.

Popularne

Najczęściej oglądane

Ładowanie...