Los usuarios que buscan software pirateado son el objetivo de una nueva campaña de malware que ofrece un malware Clipper previamente indocumentado llamado MassJacker, según los hallazgos de Cybark.
Clipper Malware es un tipo de cryware (según lo acuñado por Microsoft) diseñado para monitorear el contenido de portapapeles de una víctima y proporcionar el robo de criptomonedas mediante la sustitución de las direcciones de la billetera de criptomonedas copiadas con un atacante controlado por uno para reducirlos al adversario en motivo del objetivo previsto.
“La prisión de infecciones comienza en un sitio llamado Pesktop (.) Com”, dijo el investigador de seguridad Ari Novick en un descomposición publicado a principios de esta semana. “Este sitio, que se presenta como un sitio para obtener un software pirateado, todavía alcahuetería de que las personas descarguen todo tipo de malware”.
El ejecutable original actúa como un conducto para ejecutar un script PowerShell que ofrece un malware Botnet llamado Amadey, así como otros dos binarios .NET, cada uno compilado para una obra de 32 y 64 bits.
El binario, con código codificado Packere, es responsable de descargar una DLL cifrada, que, a su vez, carga un segundo archivo DLL que inicia la carga útil de MassJacker inyectándola en un proceso verdadero de Windows llamado “instalutil.exe”.
La DLL cifrada incorpora características que mejoran su capacidad de diversión y anti-análisis, incluyendo el enganche preciso en el tiempo (JIT), el mapeo de tokens de metadatos para ocultar las llamadas de funciones y una máquina aparente personalizada para interpretar comandos en motivo de ejecutar código .NET regular.
Massjacker, por su parte, viene con sus propias comprobaciones anti-fondos y una configuración para recuperar todos los patrones de expresión regulares para marcar direcciones de billetera de criptomonedas en el portapapeles. Además contacta a un servidor remoto para descargar archivos que contienen la letanía de billeteras bajo el control del actor de amenaza.
“Massjacker crea un manejador de eventos para que se ejecute cada vez que la víctima copia poco”, dijo Novick. “El compensador verifica los reglas, y si encuentra una coincidencia, reemplaza el contenido copiado con una billetera que pertenece al actor de amenaza de la letanía descargada”.
Cyberark dijo que identificó más de 778,531 direcciones únicas que pertenecen a los atacantes, con solo 423 de ellas que contienen fondos por un total de aproximadamente $ 95,300. Pero la cantidad total de activos digitales mantenidos en todas estas billeteras antiguamente de que se transfieran es de más o menos de $ 336,700.
Encima, la criptomoneda por valencia de aproximadamente $ 87,000 (600 SOL) se ha antitético estacionado en una sola billetera, con más de 350 transacciones que canalizan cuartos en la billetera de diferentes direcciones.
Se desconoce exactamente quién está detrás de Massjacker, aunque un examen más profundo del código fuente ha identificado superposiciones con otro malware conocido como MassLogger, que todavía ha laborioso el enganche JIT en un intento por resistir los esfuerzos de descomposición.
