Utilisateurs recherchant logiciels piratés sont désormais des cibles privilégiées pour une nouvelle campagne de logiciels malveillants qui distribue un logiciel malveillant Clipper jusqu'alors non documenté appelé MassJacker, selon les conclusions de CyberArk.
Une nouvelle menace sur la scène du piratage
Logiciel malveillant Clipper est conçu pour surveiller le contenu du presse-papiers et faciliter crypto-monnaie vol. Cela fonctionne en remplaçant les adresses de portefeuille de crypto-monnaie copiées par celles contrôlées par l'attaquant., détournant efficacement des fonds vers des acteurs malveillants au lieu du destinataire prévu. Un autre exemple d'une campagne de malware Clipper relativement récente est CryptoClippy. Cependant, Les opérateurs de CryptoClippy ont utilisé l'empoisonnement SEO pour propager le malware plutôt que des logiciels piratés.
La chaîne d'infection: Comment MassJacker se propage
L'infection commence lorsque les utilisateurs visitent un site Web appelé pesktop[.]avec, qui se présente faussement comme un dépôt de logiciels piratés. Cependant, au lieu de fournir des téléchargements légitimes, il incite les utilisateurs à installer des logiciels malveillants.
Le chercheur en sécurité Ari Novick explique que le site mentionné ci-dessus, qui se présente comme une plateforme pour les logiciels piratés, est utilisé pour distribuer divers types de logiciels malveillants.
Une fois exécuté, l'installateur malveillant déclenche un script PowerShell qui délivre un malware botnet connu sous le nom d'Amadey, avec deux autres .binaires NET compilé pour 32-bit et 64-bit architectures. L'un de ces binaires, nom de code PackerE, télécharge une DLL cryptée, qui à son tour charge une DLL secondaire qui lance MassJacker en l'injectant dans un processus Windows légitime appelé InstalUtil.exe.
Comment fonctionne MassJacker
La DLL cryptée utilisé par MassJacker emploie diverses techniques avancées pour échapper à la détection et à l'analyse, Y compris:
- Juste à temps (Juste à temps) accrochage
- Mappage des jetons de métadonnées pour masquer les appels de fonction
- Une machine virtuelle personnalisée pour interpréter les commandes au lieu d'exécuter du code .NET standard
MassJacker intègre également mécanismes anti-débogage et est préconfiguré pour détecter les expressions régulières liées à porte-monnaie crypto-monnaie adresses dans le contenu du presse-papiers.
Une fois qu'un utilisateur copie un adresse du portefeuille de crypto-monnaie, les logiciels malveillants intercepte l'action, vérifie s'il correspond à un modèle de sa base de données, et remplace le contenu copié par une adresse de portefeuille contrôlée par l'attaquant.
MassJacker crée un gestionnaire d'événements qui se déclenche chaque fois que la victime copie quelque chose, Novick a noté. S'il détecte une adresse de crypto-monnaie, il l'échange avec une adresse de la liste pré-téléchargée de l'attaquant.
L'ampleur de l'attaque
Les chercheurs de CyberArk ont découvert plus de 778,531 adresses uniques lié aux attaquants. Cependant, seulement 423 les portefeuilles contenaient des fonds, avec un solde combiné d'environ $95,300. Avant d'être vidé, ces portefeuilles détenus collectivement autour $336,700 valeur des actifs numériques.
Un seul portefeuille associé à la campagne contenait 600 SOL, vaut environ $87,000, rassemblés à travers plus de 350 transactions acheminant de l'argent provenant de diverses sources.
Les acteurs de la menace inconnus
L'identité des individus ou du groupe derrière MassJacker reste inconnu. Cependant, les chercheurs ont identifié similitudes de code entre MassJacker et une autre souche de malware connue sous le nom de Enregistreur de masse, qui utilisait également le hooking JIT pour échapper à la détection.
Étant donné les tactiques sophistiquées utilisées par MassJacker, Les experts en cybersécurité conseillent aux utilisateurs d'être prudents lors du téléchargement de logiciels, en particulier provenant de sources non vérifiées.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: