МассЈацкер Малваре
Истраживачи сајбер-безбедности открили су нову кампању против малвера која циља кориснике који траже пиратски софтвер. Напад доноси раније недокументовани малвер за клипер под називом МассЈацкер, дизајниран да украде криптовалуте манипулисањем подацима међуспремника.
Преглед садржаја
Како МассЈацкер ради: претња од злонамерног софтвера Цлиппер
Цлиппер малвер је претња сајбер претња која прати активност међуспремника жртве. Када корисник рачунара копира адресу новчаника за криптовалуте, злонамерни софтвер је замењује адресом коју контролише нападач, преусмеравајући средства на сајбер криминалце уместо на примаоца.
Песктоп.цом: Капија ка инфекцији
Ланац инфекције почиње са Песктоп.цом, веб сајтом који се маскира као извор пиратског софтвера. Међутим, корисници који преузимају са овог сајта несвесно добијају разне врсте малвера заједно са својим жељеним софтвером.
Када корисник покрене почетну извршну датотеку, она покреће ПоверСхелл скрипту која преузима ботнет малвер под називом Амадеи, заједно са две .НЕТ бинарне датотеке дизајниране за 32-битну и 64-битну архитектуру. Ове бинарне датотеке, кодног назива ПацкерЕ, преузимају шифровани ДЛЛ, који затим покреће МассЈацкер корисни терет убризгавањем у легитимни Виндовс процес познат као ИнсталУтил.еке.
Стеалтх режим: Како МассЈацкер избегава откривање
Да би избегао откривање, малвер користи више техника замагљивања, укључујући:
- ЈИТ хоокинг : Модификује Јуст-Ин-Тиме (ЈИТ) компилацију да би се избегла анализа.
- Мапирање токена метаподатака : Сакрива позиве функција да би се анализа отежала.
- Извршење прилагођене виртуелне машине : Уместо покретања стандардног .НЕТ кода, он извршава команде преко виртуелне машине како би спречио откривање.
Поред тога, МассЈацкер долази са сопственим механизмима против отклањања грешака, што истраживачима безбедности додатно отежава анализу.
Како МассЈацкер прикупља криптовалуте
Једном активан, МассЈацкер континуирано прати међуспремник жртве. Скенира копирани текст користећи регуларне изразе да би открио адресе новчаника за криптовалуте. Ако пронађе подударање, злонамерни софтвер замењује копирану адресу новчаника једном са унапред преузете листе коју контролишу нападачи.
МассЈацкер контактира удаљени сервер да би преузео ажурирану листу адреса новчаника, осигуравајући да украдена средства и даље притичу на рачуне које контролишу сајбер криминалци.
Запањујуће размере напада
Истраживачи су идентификовали преко 778.531 јединствених адреса новчаника повезаних са нападачима. Међутим, само 423 од ових новчаника тренутно имају средства у укупном износу од око 95.300 долара. Пре него што су средства пребачена, нападачи су прикупили око 336.700 долара у украденој дигиталној имовини.
Један новчаник повезан са кампањом садржи приближно 87.000 долара (600 СОЛ), са преко 350 трансакција које усмеравају средства у њега са различитих компромитованих адреса.
Ко стоји иза МассЈацкера?
Идентитет сајбер криминалаца који стоје иза МассЈацкера остаје непознат. Међутим, истраживачи су открили сличности између МассЈацкер-а и другог малвера званог МассЛоггер, који такође користи ЈИТ хоокинг да би се одупрео анализи. Ово сугерише могућу везу између две претње или заједничку позадину развоја.
Будите сигурни: како да се заштитите
- Избегавајте преузимање пиратског софтвера – Многе нелегалне софтверске локације служе као платформе за испоруку злонамерног софтвера.
- Користите јак безбедносни софтвер – Поуздан алат за откривање злонамерног софтвера може да вам помогне да уочите претње пре него што нанесу штету.
- Двапут проверите адресе новчаника – Увек ручно проверите адресе новчаника пре преноса криптовалуте.
- Одржавајте софтвер ажурираним – Редовна ажурирања осигуравају закрпе рањивости, смањујући ризик од заразе малвером.
Како сајбер криминалци настављају да развијају своје тактике, информисање и опрез је најбоља одбрана од претњи као што је МассЈацкер.
