MassJacker Clipper Malware richt zich op gebruikers van softwarepiraterij

Gebruikers die zoeken naar illegale software zijn nu de belangrijkste doelen voor een nieuwe malwarecampagne die een voorheen niet-gedocumenteerde clipper-malware verspreidt, genaamd MassJacker, volgens bevindingen van CyberArk.

Een nieuwe bedreiging in de piraterijwereld

Clipper-malware is ontworpen om klembordinhoud bewaken en faciliteren cryptogeld diefstal. Het werkt door gekopieerde cryptocurrency-walletadressen te vervangen door adressen die door de aanvaller worden beheerd., Effectief geld afleiden naar kwaadwillende actoren in plaats van naar de beoogde ontvanger. Een ander voorbeeld van een relatief recente clipper-malwarecampagne is CryptoClippy. Echter, De beheerders van CryptoClippy gebruikten SEO-vergiftiging om de malware te verspreiden in plaats van illegale software.

De infectieketen: Hoe MassJacker zich verspreidt

De infectie begint wanneer gebruikers een website bezoeken die bekend staat als pesktop[.]met, die zich ten onrechte voordoet als een opslagplaats voor gekopieerde software. Echter, in plaats van het aanbieden van legitieme downloads, het misleidt gebruikers tot het installeren van malware.

Veiligheidsonderzoeker Ari Novick legt uit dat de hierboven genoemde site, die zich voordoet als een platform voor gekopieerde software, wordt gebruikt om verschillende soorten malware te verspreiden.

Keer uitgevoerd, de kwaadaardige installateur activeert een PowerShell-script dat een botnet-malware genaamd Amadey levert, samen met twee andere .NET-binaire bestanden samengesteld voor 32-bits en 64-bits architecturen. Een van deze binaire bestanden, codenaam PackerE, downloadt een gecodeerde DLL, die op zijn beurt een secundaire DLL laadt die MassaJacker door het te injecteren in een legitiem Windows-proces dat bekend staat als InstalUtil.exe.

Hoe MassJacker werkt

Het gecodeerde DLL gebruikt door MassJacker maakt gebruik van verschillende geavanceerde technieken om detectie en analyse te omzeilen, Inclusief:

• Net op tijd (JIT) haken
• Metadata-tokentoewijzing om functieaanroepen te verdoezelen
• Een aangepaste virtuele machine om opdrachten te interpreteren in plaats van standaard .NET-code uit te voeren

MassJacker omvat ook anti-debuggingmechanismen en is vooraf geconfigureerd om reguliere expressies te detecteren die verband houden met cryptogeld portemonnee adressen in klembordinhoud.

Zodra een gebruiker een kopie maakt van een cryptocurrency wallet-adres, de malware onderschept de actie, controleert of het overeenkomt met een patroon uit zijn database, en vervangt de gekopieerde inhoud door een wallet-adres dat door de aanvaller wordt beheerd.

MassJacker creëert een gebeurtenis-handler die wordt geactiveerd wanneer het slachtoffer iets kopieert, Novick merkte op. Als het een cryptocurrency-adres detecteert, het ruilt het met een adres uit de vooraf gedownloade lijst van de aanvaller.

De omvang van de aanval

CyberArk-onderzoekers hebben meer dan 778,531 unieke adressen gelinkt aan de aanvallers. Echter, alleen 423 portemonnees bevatten fondsen, met een gecombineerd saldo van ongeveer $95,300. Vóór het leegmaken, Deze portemonnees bevatten gezamenlijk ongeveer $336,700 waarde aan digitale activa.

Er werd een enkele portemonnee gevonden die verband hield met de campagne en die het volgende bevatte: 600 SOL, ongeveer waard $87,000, verzameld door meer dan 350 transacties waarbij geld uit verschillende bronnen wordt gesluisd.

De onbekende bedreigingsactoren

De identiteit van de individuen of groepen achter MassaJacker blijft onbekend. Echter, onderzoekers hebben geïdentificeerd code overeenkomsten tussen MassJacker en een andere malware-stam die bekend staat als Mass Logger, die ook JIT-koppeling gebruikte om detectie te ontwijken.

Gezien de geavanceerde tactieken die MassJacker gebruikt, Cybersecurity-experts adviseren gebruikers voorzichtig te zijn bij het downloaden van software, vooral uit ongeverifieerde bronnen.