Benutzer suchen nach raubkopierter Software sind nun Hauptziele einer neuen Malware-Kampagne, die eine bisher nicht dokumentierte Clipper-Malware namens MassJacker verbreitet, nach Erkenntnissen von CyberArk.
Eine neue Bedrohung in der Piraterieszene
Clipper-Malware ist dazu bestimmt, Überwachen des Inhalts der Zwischenablage und erleichtern Kryptowährung Diebstahl. Es funktioniert, indem kopierte Kryptowährungs-Wallet-Adressen durch solche ersetzt werden, die vom Angreifer kontrolliert werden., effektive Umleitung von Geldern an böswillige Akteure statt an den beabsichtigten Empfänger. Ein weiteres Beispiel für eine relativ neue Clipper-Malware-Kampagne ist CryptoClippy. Jedoch, Die Betreiber von CryptoClippy nutzten SEO-Poisoning zur Verbreitung der Malware und nicht Raubkopien..
Die Infektionskette: So verbreitet sich MassJacker
Die Infektion beginnt, wenn Benutzer eine Website besuchen, die als pesktop[.]mit, die sich fälschlicherweise als Repository für Raubkopien. Jedoch, anstatt legitime Downloads anzubieten, es bringt Benutzer dazu, Malware zu installieren.
Sicherheitsforscher Ari Novick erklärt, dass die oben genannte Site, die als Plattform für Raubkopien dient, wird zur Verbreitung verschiedener Arten von Malware verwendet.
Einmal ausgeführt, das bösartige Installationsprogramm löst ein PowerShell-Skript aus, das eine Botnet-Malware namens Amadey bereitstellt, zusammen mit zwei anderen .NET-Binärdateien zusammengestellt für 32-bit und 64-bit Architekturen. Eine dieser Binärdateien, Codename PackerE, lädt eine verschlüsselte DLL herunter, Dies lädt wiederum eine sekundäre DLL, die startet MassJacker durch Einschleusen in einen legitimen Windows-Prozess namens InstalUtil.exe.
So funktioniert MassJacker
Die verschlüsselte DLL MassJacker verwendet verschiedene fortschrittliche Techniken, um Erkennung und Analyse zu entgehen, Inklusive:
- Just-in-Time (JIT) Einhaken
- Metadaten-Token-Zuordnung um Funktionsaufrufe zu verschleiern
- Eine benutzerdefinierte virtuelle Maschine Befehle zu interpretieren, anstatt Standard-.NET-Code auszuführen
MassJacker beinhaltet außerdem Anti-Debugging-Mechanismen und ist vorkonfiguriert, um reguläre Ausdrücke zu erkennen, die sich auf Kryptowährung Portemonnaie Adressen im Inhalt der Zwischenablage.
Sobald ein Benutzer eine Kryptowährungs-Wallet-Adresse, die Malware fängt die Aktion ab, prüft, ob es mit einem Muster aus seiner Datenbank übereinstimmt, und ersetzt den kopierten Inhalt durch eine vom Angreifer kontrollierte Wallet-Adresse.
MassJacker erstellt einen Eventhandler, der immer dann ausgelöst wird, wenn das Opfer etwas kopiert, Novick bemerkte. Wenn es eine Kryptowährungsadresse erkennt, Es tauscht es mit einer Adresse aus der vorab heruntergeladenen Liste des Angreifers aus.
Das Ausmaß des Angriffs
CyberArk-Forscher haben über 778,531 eindeutige Adressen mit den Angreifern in Verbindung gebracht. Jedoch, nur 423 Geldbörsen enthielten Geld, mit einem Gesamtsaldo von ca. $95,300. Vor der Entleerung, diese Brieftaschen zusammen gehalten um $336,700 Wert digitaler Vermögenswerte.
In einer einzigen mit der Kampagne in Zusammenhang stehenden Brieftasche wurde Folgendes gefunden: 600 SOL, im Wert von etwa $87,000, gesammelt durch über 350 Transaktionen, bei denen Geld aus verschiedenen Quellen fließt.
Die unbekannten Bedrohungsakteure
Die Identität der Einzelpersonen oder Gruppen hinter MassJacker bleibt unbekannt. Jedoch, Forscher haben festgestellt Code-Ähnlichkeiten zwischen MassJacker und einer anderen Malware-Variante namens Massenlogger, die ebenfalls JIT-Hooking nutzten, um der Erkennung zu entgehen.
Angesichts der ausgeklügelten Taktik von MassJacker, Cybersicherheitsexperten raten Benutzern, beim Herunterladen von Software vorsichtig zu sein, insbesondere aus nicht verifizierten Quellen.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: