ユーザーが検索 海賊版ソフトウェア これまで文書化されていなかったクリッパーマルウェア「MassJacker」を配布する新たなマルウェア攻撃の主な標的となっている。, サイバーアークの調査結果によると.
海賊行為の新たな脅威
クリッパー マルウェア 設計されている クリップボードの内容を監視する 促進する 暗号通貨 盗難. これは、コピーされた暗号通貨ウォレットアドレスを攻撃者が管理するアドレスに置き換えることで機能します。, 資金を本来の受取人ではなく悪意のある人物に流用する. 比較的最近のクリッパーマルウェア攻撃のもう一つの例は 暗号クリッピー. でも, CryptoClippyの運営者は、海賊版ソフトウェアではなく、SEOポイズニングを使用してマルウェアを拡散した。.
感染連鎖: MassJackerの拡散方法
感染は、ユーザーがと呼ばれるウェブサイトにアクセスしたときに始まります。 ペスクトップ[.]com, それは、 海賊版ソフトウェアの保管場所. でも, 合法的なダウンロードを提供する代わりに, それ ユーザーを騙してマルウェアをインストールさせる.
セキュリティ研究者のアリ・ノヴィック氏は、上記のサイトについて次のように説明している。, 海賊版ソフトウェアのプラットフォームを装う, さまざまな種類のマルウェアを配布するために使用される.
実行されると, 悪意のあるインストーラー PowerShellスクリプトを起動し、Amadeyと呼ばれるボットネットマルウェアを配信する, 他の2つの .NETバイナリ コンパイル 32-ビットおよび64ビット アーキテクチャ. これらのバイナリの1つ, コードネームPackerE, 暗号化されたDLLをダウンロードする, 次に、セカンダリDLLをロードして起動します マスジャッカー InstalUtil.exeと呼ばれる正当なWindowsプロセスに挿入することで.
MassJackerの仕組み
The 暗号化されたDLL MassJackerは、検出と分析を回避するためにさまざまな高度な技術を使用しています。, 含む:
- ジャストインタイム (ジット) フック
- メタデータトークンのマッピング 関数呼び出しを隠す
- カスタム仮想マシン 標準の.NETコードを実行する代わりにコマンドを解釈する
MassJackerには、 アンチデバッグ機構 関連する正規表現を検出するように事前設定されています 暗号通貨ウォレット クリップボードの内容のアドレス.
ユーザーが 暗号通貨ウォレットアドレス, マルウェア 行動を妨害する, データベースのパターンと一致するかどうかを確認します, コピーされたコンテンツを攻撃者が管理するウォレットアドレスに置き換える.
MassJackerは、被害者が何かをコピーするたびにトリガーされるイベントハンドラを作成します。, ノヴィック氏は指摘した. 暗号通貨アドレスを検出した場合, 攻撃者が事前にダウンロードしたリストのアドレスと交換する.
攻撃の規模
サイバーアークの研究者は、 778,531 固有のアドレス 攻撃者と関連がある. でも, それだけ 423 財布には資金が入っていた, 合計残高は約 $95,300. 空になる前, これらの財布は、 $336,700 デジタル資産の価値.
キャンペーンに関連するウォレット1つに、 600 ソル, 約 $87,000, 集まった 350 さまざまな資金源から資金を調達する取引.
未知の脅威アクター
背後にいる個人またはグループの身元 マスジャッカー 不明のまま. でも, 研究者らは コードの類似点 MassJackerと、 MassLogger, 検出を回避するためにJITフックも使用しました.
MassJackerが使用する洗練された戦術を考えると, サイバーセキュリティの専門家は、ソフトウェアをダウンロードする際には注意するようユーザーにアドバイスしている。, 特に未検証の情報源から.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: