Phần mềm độc hại MassJacker

Các nhà nghiên cứu an ninh mạng đã tiết lộ một chiến dịch phần mềm độc hại mới nhắm vào người dùng đang tìm kiếm phần mềm vi phạm bản quyền. Cuộc tấn công này cung cấp một phần mềm độc hại clipper chưa được ghi chép trước đây có tên là MassJacker, được thiết kế để đánh cắp tiền điện tử bằng cách thao túng dữ liệu clipboard.

MassJacker hoạt động như thế nào: Mối đe dọa phần mềm độc hại Clipper

Phần mềm độc hại Clipper là mối đe dọa mạng nguy hiểm theo dõi hoạt động clipboard của nạn nhân. Khi người dùng PC sao chép địa chỉ ví tiền điện tử, phần mềm độc hại sẽ thay thế địa chỉ đó bằng địa chỉ do kẻ tấn công kiểm soát, chuyển hướng tiền đến tội phạm mạng thay vì người nhận dự định.

Pesktop.com: Cổng vào lây nhiễm

Chuỗi lây nhiễm bắt đầu với Pesktop.com, một trang web ngụy trang thành nguồn cung cấp phần mềm vi phạm bản quyền. Tuy nhiên, người dùng tải xuống từ trang web này vô tình nhận được nhiều loại phần mềm độc hại khác nhau cùng với phần mềm mong muốn của họ.

Khi người dùng chạy tệp thực thi ban đầu, nó sẽ kích hoạt một tập lệnh PowerShell tải xuống phần mềm độc hại botnet có tên là Amadey, cùng với hai tệp nhị phân .NET được thiết kế cho cả kiến trúc 32 bit và 64 bit. Các tệp nhị phân này, có tên mã là PackerE, tải xuống một DLL được mã hóa, sau đó khởi chạy tải trọng MassJacker bằng cách đưa nó vào một quy trình Windows hợp lệ có tên là InstalUtil.exe.

Chế độ ẩn: MassJacker trốn tránh phát hiện như thế nào

Để tránh bị phát hiện, phần mềm độc hại sử dụng nhiều kỹ thuật che giấu, bao gồm:

• JIT Hooking : Sửa đổi biên dịch Just-In-Time (JIT) để tránh phân tích.
• Ánh xạ mã thông báo siêu dữ liệu : Ẩn các lệnh gọi hàm để làm cho việc phân tích trở nên khó khăn hơn.
• Thực thi máy ảo tùy chỉnh : Thay vì chạy mã .NET chuẩn, nó thực thi các lệnh thông qua máy ảo để tránh bị phát hiện.

Ngoài ra, MassJacker còn có cơ chế chống gỡ lỗi riêng, khiến các nhà nghiên cứu bảo mật càng khó phân tích hơn.

MassJacker thu thập tiền điện tử như thế nào

Khi hoạt động, MassJacker liên tục theo dõi clipboard của nạn nhân. Nó quét văn bản đã sao chép bằng cách sử dụng các biểu thức chính quy để phát hiện địa chỉ ví tiền điện tử. Nếu tìm thấy kết quả trùng khớp, phần mềm độc hại sẽ thay thế địa chỉ ví đã sao chép bằng một địa chỉ từ danh sách đã tải xuống trước do kẻ tấn công kiểm soát.

MassJacker liên hệ với máy chủ từ xa để lấy danh sách địa chỉ ví được cập nhật, đảm bảo số tiền bị đánh cắp tiếp tục chảy vào các tài khoản do tội phạm mạng kiểm soát.

Quy mô đáng kinh ngạc của cuộc tấn công

Các nhà nghiên cứu đã xác định được hơn 778.531 địa chỉ ví duy nhất có liên quan đến những kẻ tấn công. Tuy nhiên, chỉ có 423 trong số những ví này hiện đang nắm giữ số tiền tổng cộng khoảng 95.300 đô la. Trước khi tiền được chuyển ra ngoài, những kẻ tấn công đã tích lũy được khoảng 336.700 đô la tài sản kỹ thuật số bị đánh cắp.

Một ví duy nhất được liên kết với chiến dịch này nắm giữ khoảng 87.000 đô la (600 SOL), với hơn 350 giao dịch chuyển tiền vào ví từ nhiều địa chỉ bị xâm phạm khác nhau.

Ai là người đứng sau MassJacker?

Danh tính của những tên tội phạm mạng đứng sau MassJacker vẫn chưa được biết. Tuy nhiên, các nhà nghiên cứu đã tìm thấy điểm tương đồng giữa MassJacker và một phần mềm độc hại khác có tên là MassLogger, cũng sử dụng JIT hooking để chống lại phân tích. Điều này cho thấy có thể có mối liên hệ giữa hai mối đe dọa hoặc có chung bối cảnh phát triển.

Giữ an toàn: Cách bảo vệ bản thân

• Tránh tải xuống phần mềm vi phạm bản quyền – Nhiều trang web phần mềm bất hợp pháp đóng vai trò là nền tảng phát tán phần mềm độc hại.
• Sử dụng phần mềm bảo mật mạnh mẽ – Một công cụ phát hiện phần mềm độc hại đáng tin cậy có thể giúp phát hiện các mối đe dọa trước khi chúng gây hại.
• Kiểm tra kỹ địa chỉ ví – Luôn xác minh thủ công địa chỉ ví trước khi chuyển tiền điện tử.
• Cập nhật phần mềm thường xuyên – Cập nhật thường xuyên đảm bảo các lỗ hổng được vá, giảm nguy cơ nhiễm phần mềm độc hại.

Khi tội phạm mạng tiếp tục phát triển các chiến thuật của mình, việc luôn cập nhật thông tin và thận trọng là biện pháp phòng thủ tốt nhất chống lại các mối đe dọa như MassJacker.