El malware MassJacker Clipper ataca a los usuarios de software pirata

Usuarios que buscan software pirata Ahora son los principales objetivos de una nueva campaña de malware que distribuye un malware clipper no documentado previamente llamado MassJacker., según los hallazgos de CyberArk.

Una nueva amenaza en la escena de la piratería

Programa malicioso Clipper está diseñado para supervisar el contenido del portapapeles y facilitar criptomoneda robo. Funciona sustituyendo las direcciones de billeteras de criptomonedas copiadas por las controladas por el atacante., desviar efectivamente fondos a actores maliciosos en lugar del destinatario previsto. Otro ejemplo de una campaña de malware de clipper relativamente reciente es CryptoClippy. Sin embargo, Los operadores de CryptoClippy utilizaron envenenamiento SEO para propagar el malware en lugar de software pirateado..

La cadena de infección: Cómo se propaga MassJacker

La infección comienza cuando los usuarios visitan un sitio web conocido como escritorio[.]con, que se presenta falsamente como una repositorio de software pirateado. Sin embargo, En lugar de proporcionar descargas legítimas, eso Engaña a los usuarios para que instalen malware.

El investigador de seguridad Ari Novick explica que el sitio mencionado anteriormente, que se presenta como una plataforma para software pirateado, Se utiliza para distribuir varios tipos de malware..

Una vez ejecutada, el instalador malicioso Activa un script de PowerShell que distribuye un malware de botnet conocido como Amadey, junto con otros dos .binarios .NET compilado para 32-bit y 64-bit arquitecturas. Uno de estos binarios, nombre en código PackerE, descarga una DLL cifrada, que a su vez carga una DLL secundaria que se inicia MassJacker inyectándolo en un proceso legítimo de Windows conocido como InstalUtil.exe.

Cómo funciona MassJacker

El DLL cifrada Utilizado por MassJacker emplea varias técnicas avanzadas para evadir la detección y el análisis., Incluido:

• Justo a tiempo (Justo a tiempo) enganche
• Mapeo de tokens de metadatos Para ocultar llamadas a funciones
• Una máquina virtual personalizada para interpretar comandos en lugar de ejecutar código .NET estándar

MassJacker también incorpora mecanismos anti-depuración y está preconfigurado para detectar expresiones regulares relacionadas con billetera criptomoneda direcciones en el contenido del portapapeles.

Una vez que un usuario copia un dirección de billetera de criptomonedas, el malware intercepta la acción, Comprueba si coincide con un patrón de su base de datos, y reemplaza el contenido copiado con una dirección de billetera controlada por el atacante.

MassJacker crea un controlador de eventos que se activa cada vez que la víctima copia algo, Novick señaló. Si detecta una dirección de criptomoneda, Lo intercambia con una dirección de la lista previamente descargada del atacante.

La escala del ataque

Los investigadores de CyberArk han descubierto más de 778,531 direcciones únicas vinculados a los atacantes. Sin embargo, sólo 423 Las carteras contenían fondos, con un saldo combinado de aproximadamente $95,300. Antes de vaciarse, Estas billeteras colectivamente contenían alrededor $336,700 valor de los activos digitales.

Se encontró que una sola billetera asociada con la campaña contenía 600 SOL, vale aproximadamente $87,000, Recogidos a través de más de 350 transacciones que canalizan dinero desde diversas fuentes.

Los actores de amenazas desconocidos

La identidad de los individuos o el grupo detrás MassJacker sigue siendo desconocido. Sin embargo, Los investigadores han identificado similitudes de código entre MassJacker y otra cepa de malware conocida como Registrador de masas, que también utilizó el enganche JIT para evadir la detección.

Dadas las sofisticadas tácticas utilizadas por MassJacker, Los expertos en ciberseguridad aconsejan a los usuarios tener cuidado al descargar software, especialmente de fuentes no verificadas.