Los usuarios que buscan software pirateado son el objetivo de una nueva campaña de malware que ofrece un malware Clipper previamente indocumentado llamado MassJacker, según los hallazgos de Cybark.
Clipper Malware es un tipo de cryware (según lo acuñado por Microsoft) diseñado para monitorear el contenido de portapapeles de una víctima y simplificar el robo de criptomonedas mediante la sustitución de las direcciones de la billetera de criptomonedas copiadas con un atacante controlado por uno para reducirlos al adversario en superficie del objetivo previsto.
«La condena de infecciones comienza en un sitio llamado Pesktop (.) Com», dijo el investigador de seguridad Ari Novick en un disección publicado a principios de esta semana. «Este sitio, que se presenta como un sitio para obtener un software pirateado, incluso proxenetismo de que las personas descarguen todo tipo de malware».
El ejecutable original actúa como un conducto para ejecutar un script PowerShell que ofrece un malware Botnet llamado Amadey, así como otros dos binarios .NET, cada uno compilado para una bloque de 32 y 64 bits.
El binario, con código codificado Packere, es responsable de descargar una DLL cifrada, que, a su vez, carga un segundo archivo DLL que inicia la carga útil de MassJacker inyectándola en un proceso razonable de Windows llamado «instalutil.exe».
La DLL cifrada incorpora características que mejoran su capacidad de entretenimiento y anti-análisis, incluyendo el enganche cabal en el tiempo (JIT), el mapeo de tokens de metadatos para ocultar las llamadas de funciones y una máquina supuesto personalizada para interpretar comandos en superficie de ejecutar código .NET regular.
Massjacker, por su parte, viene con sus propias comprobaciones anti-fondos y una configuración para recuperar todos los patrones de expresión regulares para marcar direcciones de billetera de criptomonedas en el portapapeles. Además contacta a un servidor remoto para descargar archivos que contienen la relación de billeteras bajo el control del actor de amenaza.
«Massjacker crea un manejador de eventos para que se ejecute cada vez que la víctima copia poco», dijo Novick. «El regulador verifica los reglas, y si encuentra una coincidencia, reemplaza el contenido copiado con una billetera que pertenece al actor de amenaza de la relación descargada».
Cyberark dijo que identificó más de 778,531 direcciones únicas que pertenecen a los atacantes, con solo 423 de ellas que contienen fondos por un total de aproximadamente $ 95,300. Pero la cantidad total de activos digitales mantenidos en todas estas billeteras antiguamente de que se transfieran es de rodeando de $ 336,700.
Adicionalmente, la criptomoneda por valencia de aproximadamente $ 87,000 (600 SOL) se ha enfrentado estacionado en una sola billetera, con más de 350 transacciones que canalizan metálico en la billetera de diferentes direcciones.
Se desconoce exactamente quién está detrás de Massjacker, aunque un examen más profundo del código fuente ha identificado superposiciones con otro malware conocido como MassLogger, que incluso ha explotado el enganche JIT en un intento por resistir los esfuerzos de disección.
