Utenti che cercano software pirata sono ora obiettivi principali per una nuova campagna malware che distribuisce un malware clipper precedentemente non documentato chiamato MassJacker, secondo i risultati di CyberArk.
Una nuova minaccia nel panorama della pirateria
Malware clipper è progettato per monitorare il contenuto degli appunti e facilitare criptovaluta furto. Funziona sostituendo gli indirizzi dei wallet di criptovaluta copiati con quelli controllati dall'attaccante, dirottando di fatto i fondi verso attori malintenzionati invece che verso il destinatario previsto. Un altro esempio di una campagna malware clipper relativamente recente è Crypto Clippy. Tuttavia, Gli operatori di CryptoClippy hanno utilizzato l'avvelenamento SEO per diffondere il malware anziché software pirata.
La catena dell'infezione: Come si diffonde MassJacker
L'infezione inizia quando gli utenti visitano un sito web noto come cima di pesce[.]con, che si presenta falsamente come un repository per software pirata. Tuttavia, invece di fornire download legittimi, esso inganna gli utenti inducendoli a installare malware.
Il ricercatore di sicurezza Ari Novick spiega che il sito sopra menzionato, che si atteggia a piattaforma per software pirata, viene utilizzato per distribuire vari tipi di malware.
Una volta eseguito, l'installatore dannoso attiva uno script di PowerShell che distribuisce un malware botnet noto come Amadey, insieme ad altri due .binari NET compilato per 32-bit e 64-bit architetture. Uno di questi binari, nome in codice PackerE, scarica una DLL crittografata, che a sua volta carica una DLL secondaria che avvia Jacker di massa iniettandolo in un processo Windows legittimo noto come InstalUtil.exe.
Come funziona MassJacker
Il DLL crittografata utilizzato da MassJacker impiega varie tecniche avanzate per eludere il rilevamento e l'analisi, Compreso:
- Proprio in tempo (Subito pronto) agganciare
- Mappatura dei token dei metadati per oscurare le chiamate di funzione
- Una macchina virtuale personalizzata per interpretare i comandi invece di eseguire il codice .NET standard
MassJacker incorpora anche meccanismi anti-debug ed è preconfigurato per rilevare le espressioni regolari relative a wallet criptovaluta indirizzi nel contenuto degli appunti.
Una volta che un utente copia un indirizzo del portafoglio di criptovaluta, il malware intercetta l'azione, controlla se corrisponde a un modello dal suo database, e sostituisce il contenuto copiato con un indirizzo wallet controllato dall'attaccante.
MassJacker crea un gestore di eventi che si attiva ogni volta che la vittima copia qualcosa, Novick ha osservato. Se rileva un indirizzo di criptovaluta, lo scambia con un indirizzo dall'elenco pre-scaricato dell'attaccante.
La portata dell'attacco
I ricercatori di CyberArk hanno scoperto oltre 778,531 indirizzi univoci collegato agli aggressori. Tuttavia, solo 423 i portafogli contenevano fondi, con un saldo complessivo di circa $95,300. Prima di essere svuotato, questi portafogli contenevano collettivamente circa $336,700 valore delle risorse digitali.
È stato scoperto che un singolo portafoglio associato alla campagna conteneva 600 SOL, vale circa $87,000, raccolti attraverso oltre 350 transazioni che canalizzano denaro da varie fonti.
Gli attori della minaccia sconosciuta
L'identità degli individui o del gruppo dietro Jacker di massa rimane sconosciuto. Tuttavia, i ricercatori hanno identificato somiglianze di codice tra MassJacker e un altro ceppo di malware noto come Logger di massa, che ha utilizzato anche l'aggancio JIT per eludere il rilevamento.
Date le sofisticate tattiche utilizzate da MassJacker, Gli esperti di sicurezza informatica consigliano agli utenti di essere cauti quando scaricano software, soprattutto da fonti non verificate.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: