Usuários à procura de software pirata estão sendo alvo de uma nova campanha de malware que entrega um malware clipper até então não documentado chamado MassJacker, de acordo com descobertas da CyberArk.
Clipper malware é um tipo de cryware (termo cunhado pela Microsoft) projetado para monitorar o conteúdo da área de transferência (clipboard) da vítima e facilitar o roubo de criptomoedas substituindo endereços de carteiras de criptomoedas copiados por um controlado pelo atacante, a fim de redirecioná-los para o adversário em vez do destinatário pretendido.
"A cadeia de infecção começa em um site chamado pesktop[.]com", disse o pesquisador de segurança Ari Novick em uma análise publicada no início desta semana.
Este site, que se apresenta como um local para obter software pirata, também tenta induzir as pessoas a baixar vários tipos de malware. O executável inicial atua como um canal para executar um script de PowerShell que entrega um malware botnet chamado Amadey, bem como outros dois binários .NET, cada um compilado para arquitetura de 32 e 64 bits.
O binário, codinome PackerE, é responsável por baixar uma DLL criptografada, que, por sua vez, carrega um segundo arquivo DLL que inicia o payload do MassJacker injetando-o em um processo legítimo do Windows chamado "InstalUtil.exe."
A DLL criptografada incorpora recursos que aprimoram sua capacidade de evasão e anti-análise, incluindo hooking Just-In-Time (JIT), mapeamento de tokens de metadados para ocultar chamadas de função e uma máquina virtual customizada para interpretar comandos ao invés de executar código .NET regular.
O MassJacker, por sua vez, vem com suas próprias verificações anti-debugging e uma configuração para recuperar todos os padrões de expressão regular para sinalizar endereços de carteiras de criptomoedas na área de transferência.
Ele também entra em contato com um servidor remoto para baixar arquivos contendo a lista de carteiras sob controle do ator de ameaças.
"O MassJacker cria um manipulador de eventos para executar sempre que a vítima copiar qualquer coisa", disse Novick.
O manipulador verifica os regexes e, se encontrar uma correspondência, substitui o conteúdo copiado por uma carteira pertencente ao ator da ameaça da lista baixada.
A CyberArk disse que identificou mais de 778.531 endereços únicos pertencentes aos atacantes, com apenas 423 deles contendo fundos totalizando aproximadamente $95.300.
Mas o valor total de ativos digitais mantidos em todas essas carteiras antes de serem transferidos é de cerca de $336.700.
Além do mais, criptomoedas no valor de cerca sobre $87.000 (600 SOL) foram encontradas estacionadas em uma única carteira, com mais de 350 transações canalizando dinheiro para a carteira a partir de diferentes endereços.
Quem está por trás do MassJacker é desconhecido, embora um exame mais profundo do código-fonte tenha identificado sobreposições com outro malware conhecido como MassLogger, que também aproveitou o hooking JIT em uma tentativa de resistir a esforços de análise.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...