Škodlivý softvér MassJacker
Výskumníci v oblasti kybernetickej bezpečnosti odhalili novú malvérovú kampaň zameranú na používateľov hľadajúcich pirátsky softvér. Útok prináša predtým nezdokumentovaný malvér na strihanie s názvom MassJacker, ktorý je navrhnutý na kradnutie kryptomien manipuláciou s údajmi zo schránky.
Obsah
Ako funguje MassJacker: Clipper Malware Threat
Clipper malvér je hrozivá kybernetická hrozba, ktorá monitoruje aktivitu schránky obete. Keď používateľ PC skopíruje adresu kryptomenovej peňaženky, malvér ju nahradí adresou kontrolovanou útočníkom a presmeruje prostriedky na kyberzločincov namiesto zamýšľaného príjemcu.
Pesktop.com: Brána k infekcii
Infekčný reťazec začína webom Pesktop.com, ktorý sa vydáva za zdroj pirátskeho softvéru. Používatelia sťahujúci z tejto stránky však nevedomky dostávajú rôzne typy škodlivého softvéru spolu s požadovaným softvérom.
Keď používateľ spustí počiatočný spustiteľný súbor, spustí sa skript PowerShell, ktorý stiahne malvér botnetu s názvom Amadey spolu s dvoma binárnymi súbormi .NET navrhnutými pre 32-bitové aj 64-bitové architektúry. Tieto binárne súbory s kódovým označením PackerE stiahnu zašifrovanú knižnicu DLL, ktorá potom spustí užitočné zaťaženie MassJacker tak, že ho vloží do legitímneho procesu Windows známeho ako InstalUtil.exe.
Stealth Mode: Ako sa MassJacker vyhýba detekcii
Aby sa zabránilo odhaleniu, malvér využíva viaceré techniky zahmlievania vrátane:
- JIT Hooking : Upravuje kompiláciu Just-In-Time (JIT), aby sa vyhla analýze.
- Mapovanie tokenov metadát : Skryje volania funkcií, aby sa analýza sťažila.
- Spustenie vlastného virtuálneho stroja : Namiesto spustenia štandardného kódu .NET vykonáva príkazy prostredníctvom virtuálneho stroja, aby sa zabránilo detekcii.
MassJacker navyše prichádza s vlastnými mechanizmami proti ladeniu, vďaka čomu je pre výskumníkov v oblasti bezpečnosti ešte ťažšie analyzovať.
Ako MassJacker zbiera kryptomeny
Keď je MassJacker aktívny, neustále monitoruje schránku obete. Skenuje skopírovaný text pomocou regulárnych výrazov, aby zistil adresy peňaženky kryptomien. Ak nájde zhodu, malvér nahradí skopírovanú adresu peňaženky adresou z vopred stiahnutého zoznamu kontrolovaného útočníkmi.
MassJacker kontaktuje vzdialený server, aby získal aktualizovaný zoznam adries peňaženiek, čím sa zabezpečí, že ukradnuté prostriedky budú naďalej prúdiť na účty kontrolované kyberzločincami.
Ohromujúca mierka útoku
Výskumníci identifikovali viac ako 778 531 jedinečných adries peňaženiek spojených s útočníkmi. Len 423 z týchto peňaženiek však v súčasnosti obsahuje finančné prostriedky v celkovej výške približne 95 300 USD. Predtým, ako boli finančné prostriedky prevedené, útočníci nazhromaždili približne 336 700 dolárov v ukradnutých digitálnych aktívach.
Jedna peňaženka prepojená s kampaňou obsahuje približne 87 000 USD (600 SOL), pričom do nej smeruje viac ako 350 transakcií z rôznych napadnutých adries.
Kto stojí za MassJackerom?
Identita kyberzločincov za MassJackerom zostáva neznáma. Výskumníci však našli podobnosti medzi MassJackerom a iným malvérom s názvom MassLogger, ktorý tiež používa JIT hákovanie na odolanie analýze. To naznačuje možné spojenie medzi týmito dvoma hrozbami alebo zdieľané vývojové pozadie.
Zostaňte v bezpečí: Ako sa chrániť
- Vyhnite sa sťahovaniu pirátskeho softvéru – Mnoho stránok s nelegálnym softvérom slúži ako platformy na doručovanie škodlivého softvéru.
- Používajte silný bezpečnostný softvér – Spoľahlivý nástroj na detekciu škodlivého softvéru môže pomôcť odhaliť hrozby skôr, ako spôsobia škodu.
- Dvakrát skontrolujte adresy peňaženky – Pred prevodom kryptomeny vždy manuálne overte adresy peňaženky.
- Udržujte softvér aktualizovaný – Pravidelné aktualizácie zaisťujú opravu zraniteľností, čím sa znižuje riziko infekcií škodlivým softvérom.
Keďže počítačoví zločinci pokračujú vo vývoji svojich taktík, zostať informovaný a obozretný je najlepšou obranou proti hrozbám ako MassJacker.
