Знижка на кілька ліцензій
База даних загроз Шкідливе програмне забезпечення Зловмисне програмне забезпечення MassJacker

Зловмисне програмне забезпечення MassJacker

До Mezo року в Шкідливе програмне забезпечення, Викрадачі році
Перекласти на:
Українська

Дослідники з кібербезпеки виявили нову кампанію зловмисного програмного забезпечення, націлене на користувачів, які шукають піратське програмне забезпечення. Атака забезпечує раніше незадокументовану шкідливу програму-кліпер під назвою MassJacker, призначену для крадіжки криптовалюти шляхом маніпулювання даними буфера обміну.

Як працює MassJacker: загроза шкідливого програмного забезпечення Clipper

Зловмисне програмне забезпечення Clipper — це загрозлива кіберзагроза, яка відстежує активність буфера обміну жертви. Коли користувач ПК копіює адресу гаманця криптовалюти, зловмисне програмне забезпечення замінює її адресою, контрольованою зловмисником, перенаправляючи кошти кіберзлочинцям замість передбачуваного одержувача.

Pesktop.com: Шлюз до інфекції

Ланцюг зараження починається з Pesktop.com, веб-сайту, виданого за джерело піратського програмного забезпечення. Однак користувачі, які завантажують із цього сайту, несвідомо отримують різні типи зловмисного програмного забезпечення разом із бажаним програмним забезпеченням.

Коли користувач запускає початковий виконуваний файл, він запускає сценарій PowerShell, який завантажує шкідливе програмне забезпечення ботнету під назвою Amadey разом із двома двійковими файлами .NET, розробленими як для 32-бітної, так і для 64-бітної архітектур. Ці двійкові файли під кодовою назвою PackerE завантажують зашифровану DLL, яка потім запускає корисне навантаження MassJacker, вставляючи його в законний процес Windows, відомий як InstalUtil.exe.

Режим скритності: як MassJacker ухиляється від виявлення

Щоб уникнути виявлення, зловмисне програмне забезпечення використовує кілька методів обфускації, зокрема:

  • Перехоплення JIT : змінює компіляцію Just-In-Time (JIT), щоб уникнути аналізу.
  • Відображення маркерів метаданих : приховує виклики функцій, щоб ускладнити аналіз.
  • Виконання спеціальної віртуальної машини : замість запуску стандартного коду .NET він виконує команди через віртуальну машину, щоб запобігти виявленню.

Крім того, MassJacker оснащено власними механізмами захисту від помилок, що ще більше ускладнює аналіз для дослідників безпеки.

Як MassJacker збирає криптовалюту

Після активації MassJacker постійно стежить за буфером обміну жертви. Він сканує скопійований текст за допомогою регулярних виразів, щоб виявити адреси гаманців криптовалюти. Якщо воно знаходить відповідність, зловмисне програмне забезпечення замінює скопійовану адресу гаманця адресою з попередньо завантаженого списку, яким керують зловмисники.

MassJacker зв’язується з віддаленим сервером, щоб отримати оновлений список адрес гаманців, гарантуючи, що викрадені кошти продовжують надходити на облікові записи, контрольовані кіберзлочинцями.

Приголомшливий масштаб атаки

Дослідники ідентифікували понад 778 531 унікальних адрес гаманців, пов’язаних із зловмисниками. Однак лише 423 з цих гаманців зараз містять кошти на загальну суму приблизно 95 300 доларів США. До того, як кошти були переведені, зловмисники зібрали близько 336 700 доларів США у вигляді викрадених цифрових активів.

В одному гаманці, пов’язаному з кампанією, зберігається приблизно 87 000 доларів США (600 SOL), з більш ніж 350 транзакціями, які надходять у нього з різних зламаних адрес.

Хто стоїть за MassJacker?

Особи кіберзлочинців, які стоять за MassJacker, залишаються невідомими. Однак дослідники виявили схожість між MassJacker та іншою шкідливою програмою під назвою MassLogger, яка також використовує підключення JIT, щоб протистояти аналізу. Це свідчить про можливий зв’язок між двома загрозами або спільний фон розвитку.

Будьте в безпеці: як захистити себе

  • Уникайте завантаження піратського програмного забезпечення – багато сайтів з нелегальним програмним забезпеченням служать платформами для доставки шкідливих програм.
  • Використовуйте надійне програмне забезпечення безпеки – надійний інструмент виявлення зловмисного програмного забезпечення може допомогти виявити загрози до того, як вони завдадуть шкоди.
  • Ретельно перевіряйте адреси гаманців – завжди вручну перевіряйте адреси гаманців перед переказом криптовалюти.
  • Оновлюйте програмне забезпечення – регулярні оновлення забезпечують усунення вразливостей, що знижує ризик зараження зловмисним програмним забезпеченням.

Оскільки кіберзлочинці продовжують розвивати свою тактику, бути поінформованим і обережним є найкращим захистом від таких загроз, як MassJacker.

В тренді

Блокувальник реклами Omega

Потенційно небажані програми, рекламне ПЗ
Захист пристроїв від нав’язливого та ненадійного програмного забезпечення є критично важливим аспектом онлайн-безпеки. Багато програм, які рекламуються як корисні інструменти, часто мають приховані...

Plebeianness.app

рекламне ПЗ, Шкідливе програмне забезпечення Mac, Потенційно небажані програми
Світ кібербезпеки постійно розвивається, і навіть користувачі Mac не захищені від загроз, створених небезпечним програмним забезпеченням. Одним із таких порушників спокою, який нещодавно набув...

Найбільше переглянуті

Шкідливе програмне забезпечення

Фішинг, Спам
24,920
Шахрайське повідомлення «Apple Pay Suspended» — це різновид фішингової тактики, спрямованої на користувачів Apple Pay. У повідомленні стверджується, що гаманець Apple Pay користувача призупинено, і закликається натиснути посилання, щоб відновити його. Однак, натиснувши посилання, користувач перейде на підроблений веб-сайт, призначений для викрадення його особистої та фінансової інформації. Якщо...
Завантаження...