Korisnici koji traže piratski softver postali su meta nove malver kampanje koja isporučuje prethodno nedokumentovani kliper malver nazvan MassJacker, prema nalazima istraživača iz CyberArk-a.
Kliper malver je vrsta malicioznog softvera (poznatog kao cryware prema Microsoftu) koji je dizajnisan da prati sadržaj međuspremnika (clipboard) žrtve i olakšava krađu kriptovaluta zamjenom kopirane adrese kripto novčanika adresom koju kontroliše napadač, kako bi se sredstva preusmjerila na račun napadača umjesto na željenu metu.
Lanac infekcije
Lanac infekcije počinje na web stranici pod nazivom pesktop[.]com, izjavio je sigurnosni istraživač Ari Novick u analizi objavljenoj ranije ove sedmice.
“Ova stranica, koja se predstavlja kao mjesto za preuzimanje piratskog softvera, takođe pokušava navesti korisnike da preuzmu različite vrste malvera.”
Početna izvršna datoteka služi kao kanal za pokretanje PowerShell skripte koja isporučuje botnet malver nazvan Amadey, kao i dvije druge .NET binarne datoteke, svaka kompajlirana za 32-bitnu i 64-bitnu arhitekturu.
Tehničke karakteristike malvera
Binarni fajl, kodnog imena PackerE, odgovoran je za preuzimanje šifrirane DLL datoteke, koja zatim učitava drugu DLL datoteku koja pokreće MassJacker teret.
Šifrirani DLL uključuje funkcije koje poboljšavaju sposobnost izbjegavanja detekcije i analize, uključujući:
- Just-In-Time (JIT) hooking za prikrivanje funkcijskih poziva,
- Mapiranje tokena metadate kako bi se sakrili pozivi funkcija,
- Prilagođenu virtuelnu mašinu koja tumači komande umjesto da izvršava uobičajeni .NET kod.
Funkcionalnost MassJacker-a
Malver MassJacker posjeduje vlastite provjere za izbjegavanje debagiranja i konfigurisan je da preuzima sve regularne izraze za označavanje kripto novčanika u međuspremniku. Takođe kontaktira udaljeni server radi preuzimanja fajlova sa spiskom novčanika koje kontroliše napadač.
“MassJacker kreira rukovalac događaja koji se pokreće svaki put kada žrtva nešto kopira”, rekao je Novick.
“Rukovalac provjerava regularne izraze (regex), i ako pronađe podudaranje, zamjenjuje kopirani sadržaj adresom novčanika koja pripada napadaču sa preuzetog spiska.”
Finansijski uticaj i analiza
CyberArk je identifikovao preko 778.531 jedinstvenih adresa koje pripadaju napadačima, od kojih samo 423 sadrže sredstva u ukupnom iznosu od približno 95.300 dolara. Međutim, ukupna količina digitalne imovine u svim tim novčanicima prije prebacivanja iznosila je oko 336.700 dolara.
Takođe, kriptovaluta u vrijednosti od oko 87.000 dolara (600 SOL) pronađena je na jednom novčaniku, uz više od 350 transakcija koje su preusmjerile sredstva iz različitih adresa.
Porijeklo MassJacker-a
Tačan identitet autora MassJacker-a još uvijek nije poznat, iako je dublje ispitivanje izvornog koda otkrilo sličnosti sa drugim malverom poznatim kao MassLogger, koji je takođe koristio JIT hooking u pokušaju da izbjegne analizu.
Izvor:The Hacker News