Brugere søger efter piratkopieret software er nu primære mål for en ny malware-kampagne, der distribuerer en tidligere udokumenteret clipper-malware kaldet MassJacker, ifølge resultater fra CyberArk.
En ny trussel i piratkopiering
Clipper malware er designet til overvåge udklipsholderens indhold og lette cryptocurrency tyveri. Det fungerer ved at erstatte kopierede cryptocurrency wallet-adresser med dem, der kontrolleres af angriberen, effektivt omdirigere midler til ondsindede aktører i stedet for den påtænkte modtager. Et andet eksempel på en relativt ny clipper malware-kampagne er CryptoClippy. Men, CryptoClippys operatører brugte SEO-forgiftning til at sprede malwaren frem for piratkopieret software.
Infektionskæden: Hvordan MassJacker spreder sig
Infektionen begynder, når brugere besøger et websted kendt som pesktop[.]med, der fejlagtigt præsenterer sig selv som en repository for piratkopieret software. Men, i stedet for at levere lovlige downloads, det narre brugere til at installere malware.
Sikkerhedsforsker Ari Novick forklarer, at ovennævnte site, som udgør en platform for piratkopieret software, bruges til at distribuere forskellige typer malware.
Når henrettet, det ondsindede installationsprogram udløser et PowerShell-script, der leverer en botnet-malware kendt som Amadey, sammen med to andre .NET binære filer kompileret til 32-bit og 64-bit arkitekturer. En af disse binære filer, kodenavnet PackerE, downloader en krypteret DLL, som igen indlæser en sekundær DLL, der starter MassJacker ved at indsprøjte det i en legitim Windows-proces kendt som InstalUtil.exe.
Sådan fungerer MassJacker
Den krypteret DLL brugt af MassJacker anvender forskellige avancerede teknikker til at undgå påvisning og analyse, Herunder:
- Just-In-Time (JIT) krogning
- Kortlægning af metadatatoken at skjule funktionskald
- En brugerdefineret virtuel maskine at fortolke kommandoer i stedet for at udføre standard .NET-kode
MassJacker inkorporerer også anti-debugging mekanismer og er forudkonfigureret til at detektere regulære udtryk relateret til cryptocurrency tegnebog adresser i udklipsholderens indhold.
Når en bruger kopierer en cryptocurrency wallet adresse, malware opsnapper handlingen, kontrollerer, om det matcher et mønster fra sin database, og erstatter det kopierede indhold med en tegnebogsadresse, der kontrolleres af angriberen.
MassJacker opretter en hændelseshandler, der udløses, hver gang offeret kopierer noget, Novick bemærkede. Hvis den registrerer en cryptocurrency-adresse, den udskifter den med en adresse fra angriberens forhåndsdownloadede liste.
Angrebets omfang
CyberArk-forskere har afsløret over 778,531 unikke adresser knyttet til angriberne. Men, kun 423 tegnebøger indeholdt midler, med en samlet balance på ca $95,300. Inden den bliver tømt, disse tegnebøger samlet rundt $336,700 værdi af digitale aktiver.
En enkelt tegnebog i forbindelse med kampagnen viste sig at indeholde 600 SOL, omkring værd $87,000, samlet igennem over 350 transaktioner med penge fra forskellige kilder.
De ukendte trusselskuespillere
Identiteten af individerne eller gruppen bag MassJacker forbliver ukendt. Men, forskere har identificeret kode ligheder mellem MassJacker og en anden malware-stamme kendt som MassLogger, som også brugte JIT hooking for at undgå detektion.
I betragtning af den sofistikerede taktik, som MassJacker bruger, cybersikkerhedseksperter råder brugerne til at være forsigtige, når de downloader software, især fra ubekræftede kilder.