Uma nova operação de sequestro de área de transferência, apelidada de 'MassJacker', usa pelo menos 778.531 endereços de carteiras de criptomoedas para roubar ativos digitais de computadores comprometidos.
De acordo com a CyberArk, que descobriu a campanha MassJacker, cerca de 423 carteiras ligadas à operação continham $95.300 no momento da análise, mas dados históricos sugerem transações mais significativas.
Além disso, há uma única carteira Solana que os atores de ameaças parecem usar como um hub central de recebimento de dinheiro, que acumulou mais de $300.000 em transações até agora.
A CyberArk suspeita que toda a operação MassJacker esteja associada a um grupo de ameaça específico, já que os nomes de arquivos baixados de servidores de comando e controle e as chaves de criptografia usadas para descriptografar os arquivos foram os mesmos durante toda a campanha.
No entanto, a operação ainda pode estar seguindo um modelo de malware como serviço (malware-as-a-service), onde um administrador central vende acesso a vários criminosos cibernéticos.
A CyberArk chama o MassJacker de uma operação de cryptojacking, embora esse termo seja mais frequentemente associado à mineração de criptomoedas não autorizada que explora os recursos de processamento/hardware da vítima.
Na realidade, o MassJacker depende de malware de sequestro de área de transferência (clippers), que é um tipo de malware que monitora a área de transferência do Windows para endereços de carteiras de criptomoedas copiados e os substitui por um sob controle do atacante.
Ao fazer isso, as vítimas enviam dinheiro aos atacantes, embora pretendessem enviá-lo a outra pessoa.
Os Clippers são ferramentas simples, mas muito eficazes que são particularmente difíceis de detectar devido à sua funcionalidade limitada e escopo operacional.
O MassJacker é distribuído via pesktop[.]com, um site que hospeda software pirata e malware.
Instaladores de software baixados deste site executam um script cmd que aciona um script PowerShell, que busca um bot Amadey e dois arquivos loader (PackerE e PackerD1).
O Amadey lança o PackerE, que, por sua vez, descriptografa e carrega o PackerD1 na memória.
O PackerD1 apresenta cinco recursos embutidos que aumentam sua evasão e desempenho anti-análise, incluindo hooking Just-In-Time (JIT), mapeamento de tokens de metadados para ofuscar chamadas de função e uma máquina virtual personalizada para interpretação de comandos em vez de executar código .NET regular.
O PackerD1 descriptografa e injeta o PackerD2, que eventualmente descomprime e extrai o payload final, MassJacker, e a injeta no processo legítimo do Windows, 'InstalUtil.exe'.
O MassJacker monitora a área de transferência para endereços de carteiras de criptomoedas usando padrões regex, e se uma correspondência for encontrada, ele substitui por um endereço de carteira controlado pelo atacante a partir de uma lista criptografada.
A CyberArk convoca a comunidade de pesquisa em cibersegurança a investigar mais de perto grandes operações de cryptojacking como o MassJacker, pois, apesar dos danos financeiros percebidos como baixos, elas poderiam revelar informações valiosas de identificação sobre muitos atores de ameaças.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...