Недавние исследования показали, что пользователи, ищущие пиратское программное обеспечение, стали целевой аудиторией нового вредоносного ПО, известного как MassJacker. Это программное обеспечение относится к классу вредоносных программ, называемому "клипперами", предназначенных для мониторинга содержимого буфера обмена жертвы с целью кражи криптовалюты. Это достигается путем подмены скопированных адресов кошельков криптовалюты на контролируемые злоумышленниками адреса, что позволяет перенаправлять средства на счета атакующих. Исследования, проведенные компанией CyberArk, выявили, что цепочка заражения начинается с веб-сайта, называемого pesktop[.]com.
Этот ресурс маскируется под сайт для загрузки пиратского программного обеспечения, но фактически он служит для распространения различных вредоносных программ. Первоначально загруженный исполняемый файл осуществляет запуск PowerShell-скрипта, который устанавливает ботнет под названием Amadey и два других бинарных файла .NET, скомпилированных для 32- и 64-битной архитектуры. Одним из таких бинарников является кодовое имя PackerE, который отвечает за загрузку зашифрованной DLL-библиотеки. Эта библиотека, в свою очередь, загружает вторую DLL, которая запускает вредоносный код MassJacker, внедряя его в легитимный процесс Windows под названием "InstalUtil.
exe". Зашифрованная DLL содержит функции, улучшающие ее способности к избеганию выявления и анализа. Они включают такие методы, как "Just-In-Time" (JIT) hooking, картирование метаданных токенов для сокрытия вызовов функций и использование настраиваемой виртуальной машины для интерпретации команд вместо выполнения обычного кода .NET. MassJacker сам по себе имеет собственные проверки на отладку и конфигурацию, позволяющую ему извлекать регулярные выражения для определения адресов кошельков криптовалют в буфере обмена.
Он также взаимодействует с удаленным сервером для получения файлов, содержащих список кошельков, находящихся под контролем злоумышленников. По словам исследователя безопасности Ари Новика, MassJacker создает обработчик события, который запускается каждый раз, когда жертва что-либо копирует. Этот обработчик проверяет регулярные выражения, и если он находит совпадение, то заменяет скопированное содержание на кошелек, принадлежащий злоумышленнику из загруженного списка. CyberArk сообщила, что была идентифицирована более 778,531 уникальных адресов, принадлежащих нападающим, из которых только 423 содержали средства, общая сумма которых составила примерно 95,300 долларов. Однако общая стоимость цифровых активов, находившихся на всех этих кошельках до их перевода, составляет около 336,700 долларов.
Более того, была обнаружена криптовалюта на сумму около 87,000 долларов (600 SOL), которая была размещена в одном кошельке, с более чем 350 транзакциями, переводящими деньги с различных адресов. На данный момент неясно, кто стоит за MassJacker, однако более глубокий анализ исходного кода отметил пересечения с другой вредоносной программой под названием MassLogger, которая также использовала JIT hooking для повышения своих скрытных возможностей. Чтобы не стать жертвой таких хакеров, пользователи должны соблюдать ряд мер предосторожности. Во-первых, следует воздерживаться от загрузки программного обеспечения с ненадежных сайтов или ресурсов, так как это может привести к инфекции вредоносным ПО. Во-вторых, важно использовать антивирусное программное обеспечение, которое может обнаружить и предотвратить подобные угрозы.
Настоятельно рекомендуется также обновлять операционную систему и приложения, чтобы защититься от известных уязвимостей. Кроме того, стоит обращать внимание на сообщения об угрозах безопасности и подписываться на обновления от надежных источников. Кроме того, осуществление периодического мониторинга своих криптовалютных кошельков позволит выявлять подозрительные транзакции на ранней стадии. Регулярные проверки безопасности и использование многофакторной аутентификации для всех аккаунтов, связанных с криптовалютами, также помогут минимизировать риски. Опасности в мире киберугроз продолжают расти, и с появлением новых вредоносных программ, таких как MassJacker, пользователи должны оставаться бдительными и информированными.
Важно осознавать, что кибербезопасность — это не только задача специалистов, но и обязанность каждого пользователя интернет-ресурсов. Следуя этим рекомендациям и оставаясь в курсе последних киберугроз, можно существенно снизить риски и защитить свои данные и средства.
