Networking

Malware Massjacker menggunakan 778.000 dompet untuk mencuri cryptocurrency

82
malware-massjacker-menggunakan-778.000-dompet-untuk-mencuri-cryptocurrency
Malware Massjacker menggunakan 778.000 dompet untuk mencuri cryptocurrency

Operasi pembajakan clipboard yang baru ditemukan dijuluki ‘Massjacker’ menggunakan setidaknya 778.531 alamat dompet cryptocurrency untuk mencuri aset digital dari komputer yang dikompromikan.

Menurut Cyberarkyang menemukan kampanye Massjacker, kira -kira 423 dompet yang terkait dengan operasi berisi $ 95.300 pada saat analisis, tetapi data historis menunjukkan transaksi yang lebih signifikan.

Juga, ada satu dompet Solana yang tampaknya digunakan oleh para aktor ancaman sebagai pusat penerima uang sentral, yang telah mengumpulkan lebih dari $ 300.000 dalam transaksi sejauh ini.

Cyberark mencurigai bahwa seluruh operasi Massjacker dikaitkan dengan grup ancaman tertentu, karena nama file yang diunduh dari server perintah dan kontrol dan kunci enkripsi yang digunakan untuk mendekripsi file adalah sama di seluruh kampanye.

Namun, operasi masih bisa mengikuti model malware-as-a-service, di mana seorang administrator pusat menjual akses ke berbagai penjahat cyber.

Transaksi di dompet Solana
Sumber: Cyberark

Cyberark menyebut Massjacker operasi cryptojacking, meskipun istilah ini lebih sering dikaitkan dengan penambangan cryptocurrency yang tidak sah memanfaatkan sumber daya pemrosesan/perangkat keras korban.

Pada kenyataannya, Massjacker mengandalkan malware pembajak clipboard (Clippers), yang merupakan jenis malware yang memantau windows clipboard untuk alamat dompet cryptocurrency yang disalin dan menggantinya dengan satu di bawah kendali penyerang.

Dengan melakukan itu, para korban tanpa sadar mengirim uang kepada para penyerang, meskipun mereka bermaksud mengirimkannya ke orang lain.

Clippers adalah alat sederhana tetapi sangat efektif yang sangat sulit dideteksi karena fungsionalitas dan ruang lingkup operasional yang terbatas.

Detail teknis

Massjacker didistribusikan melalui Pesktop[.]com, situs yang menampung perangkat lunak dan malware bajakan.

Penginstal perangkat lunak yang diunduh dari situs ini menjalankan skrip CMD yang memicu skrip PowerShell, yang mengambil bot Amadey dan dua file loader (Packere dan PackerD1).

Amadey meluncurkan Packere, yang, pada gilirannya, mendekripsi dan memuat packerd1 ke dalam memori.

Packerd1 memiliki lima sumber daya tertanam yang meningkatkan kinerja penghindaran dan anti-analisisnya, termasuk pengait just-in-time (JIT), pemetaan token metadata untuk mengaburkan panggilan fungsi, dan mesin virtual khusus untuk interpretasi perintah alih-alih menjalankan kode .NET biasa.

Packerd1 mendekripsi dan menyuntikkan Packerd2, yang akhirnya mendekompresi dan mengekstrak muatan akhir, Massjacker, dan menyuntikkannya ke dalam proses Windows yang sah ‘Instalutil.exe.’

Rantai Infeksi Massjacker
Sumber: Cyberark

Massjacker memantau papan klip untuk alamat dompet cryptocurrency menggunakan pola regex, dan jika kecocokan ditemukan, ia menggantinya dengan alamat dompet yang dikendalikan oleh penyerang dari daftar terenkripsi.

Cyberark menyebut komunitas penelitian cybersecurity untuk melihat lebih dekat ke operasi cryptojacking besar seperti Massjacker, karena terlepas dari kerusakan keuangan yang dirasakan rendah, mereka dapat mengungkapkan informasi identifikasi yang berharga tentang banyak aktor ancaman.

Exit mobile version