Usuários procurando por software pirata agora são os principais alvos de uma nova campanha de malware que distribui um malware clipper não documentado anteriormente chamado MassJacker, de acordo com descobertas da CyberArk.
Uma nova ameaça no cenário da pirataria
Malware Clipper é projetado para monitorar conteúdo da área de transferência e facilitar criptomoeda roubo. Ele funciona substituindo endereços de carteira de criptomoeda copiados por outros controlados pelo invasor, desviar fundos efetivamente para atores maliciosos em vez do destinatário pretendido. Outro exemplo de uma campanha de malware clipper relativamente recente é CryptoClippy. Contudo, Os operadores do CryptoClippy usaram envenenamento de SEO para espalhar o malware em vez de software pirateado.
A cadeia de infecção: Como o MassJacker se espalha
A infecção começa quando os usuários visitam um site conhecido como área de trabalho pe[.]com, que se apresenta falsamente como um repositório para software pirateado. Contudo, em vez de fornecer downloads legítimos, isto engana os usuários para instalar malware.
O pesquisador de segurança Ari Novick explica que o site acima mencionado, que se apresenta como uma plataforma para software pirateado, é usado para distribuir vários tipos de malware.
Uma vez executado, o instalador malicioso aciona um script do PowerShell que entrega um malware botnet conhecido como Amadey, junto com outros dois .Binários NET compilado para 32-bits e de 64 bits arquiteturas. Um desses binários, codinome PackerE, baixa uma DLL criptografada, que por sua vez carrega uma DLL secundária que inicia MassJacker injetando-o em um processo legítimo do Windows conhecido como InstalalUtil.exe.
Como o MassJacker opera
o DLL criptografada usado pelo MassJacker emprega várias técnicas avançadas para evitar a detecção e análise, Incluindo:
- Na hora certa (JIT) Enganchar
- Mapeamento de token de metadados para obscurecer chamadas de função
- Uma máquina virtual personalizada para interpretar comandos em vez de executar código .NET padrão
MassJacker também incorpora mecanismos anti-depuração e é pré-configurado para detectar expressões regulares relacionadas a carteira criptomoeda endereços no conteúdo da área de transferência.
Uma vez que um usuário copia um endereço de carteira de criptomoeda, o malware intercepta a ação, verifica se corresponde a um padrão de seu banco de dados, e substitui o conteúdo copiado por um endereço de carteira controlado pelo invasor.
O MassJacker cria um manipulador de eventos que é acionado sempre que a vítima copia qualquer coisa, Novick observou. Se detectar um endereço de criptomoeda, ele troca com um endereço da lista pré-baixada do invasor.
A Escala do Ataque
Os pesquisadores da CyberArk descobriram mais de 778,531 endereços únicos ligado aos atacantes. Contudo, só 423 carteiras continham fundos, com um saldo combinado de aproximadamente $95,300. Antes de ser esvaziado, essas carteiras coletivamente mantidas em torno $336,700 valor em ativos digitais.
Foi descoberto que uma única carteira associada à campanha continha 600 SOL, vale cerca de $87,000, reunidos através de mais de 350 transações que canalizam dinheiro de várias fontes.
Os Atores de Ameaça Desconhecidos
A identidade dos indivíduos ou grupo por trás MassJacker permanece desconhecido. Contudo, pesquisadores identificaram similaridades de código entre o MassJacker e outra cepa de malware conhecida como Registrador de massa, que também usou o hooking JIT para evitar a detecção.
Dadas as táticas sofisticadas usadas pelo MassJacker, especialistas em segurança cibernética aconselham os usuários a serem cautelosos ao baixar software, especialmente de fontes não verificadas.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: