MassJacker представляет собой разновидность клппер-вредоносного ПО, способного незамедлительно заменять криптовалютные кошельки в буфере обмена. Программа, работающая в реальном времени при копировании адресов, подменяет их на заранее сконфигурированные, принадлежащие злоумышленникам, что позволяет перенаправлять денежные средства без ведома пользователя.
MassJacker использует регулярные выражения для выявления формата криптовалютных адресов, автоматически перехватывая содержимое буфера обмена и заменяя его на актуальные адреса, загруженные с удалённого сервера. Внедрение реализовано через событие копирования, которое проверяется по заданным шаблонам, минимизируя вероятность обнаружения.
Цепочка заражения начинается на сайте pesktop[.]com, позиционирующем себя как источник пиратского программного обеспечения. При заходе на сайт пользователь запускает первоначальный исполняемый файл, который активирует PowerShell-скрипт для доставки ботнета Amadey, а затем устанавливает два дополнительных.NET-бинарных файла, оптимизированных для 32- и 64-битных систем.
Один из исполняемых файлов, именуемый внутри системы как PackerE, отвечает за загрузку зашифрованной DLL, которая, в свою очередь, инициирует вторую DLL, запускающую MassJacker. Полученный вредоносный компонент затем внедряется в легитимный процесс Windows – InstalUtil.exe, что позволяет ему оставаться незамеченным системными антивирусами.
Для обхода инструментов анализа зашифрованная DLL применяет такие методы, как JIT-хуки, изменение токенов метаданных и использование собственной виртуальной машины для интерпретации команд вместо выполнения стандартного.NET-кода. Эти технологии значительно усложняют процесс дешифровки и анализа, повышая эффективность скрытного распространения вредоносного ПО.
Исследования CyberArk выявили более 778 531 уникальных адресов, контролируемых злоумышленниками, из которых 423 кошелька содержали около 95 300 долларов. Общая стоимость цифровых активов, до вывода средств, оценивалась приблизительно в 336 700 долларов; один из кошельков, с балансом около 600 SOL (примерно 87 000 долларов), участвовал в более чем 350 транзакциях, аккумулируя средства с различных адресов.
Анализ исходного кода MassJacker показал сходство с известным вредоносным проектом MassLogger, использующим аналогичные JIT-технологии для противодействия анализу. Несмотря на отсутствие четкой атрибуции, эксперты отмечают, что методы обхода защиты и адаптивность данного ПО свидетельствуют о высоком уровне профессионализма его создателей.
Специалист по кибербезопасности Ари Новик акцентировал внимание на том, что заражение начинается с pesktop[.]com, а механизм замены адресов в буфере обмена создаёт серьезную угрозу для пользователей, ищущих пиратские версии программного обеспечения. Высказывания эксперта подчеркивают масштаб проблемы и необходимость усиленных мер защиты при работе с цифровыми активами.
Изображение носит иллюстративный характер
MassJacker использует регулярные выражения для выявления формата криптовалютных адресов, автоматически перехватывая содержимое буфера обмена и заменяя его на актуальные адреса, загруженные с удалённого сервера. Внедрение реализовано через событие копирования, которое проверяется по заданным шаблонам, минимизируя вероятность обнаружения.
Цепочка заражения начинается на сайте pesktop[.]com, позиционирующем себя как источник пиратского программного обеспечения. При заходе на сайт пользователь запускает первоначальный исполняемый файл, который активирует PowerShell-скрипт для доставки ботнета Amadey, а затем устанавливает два дополнительных.NET-бинарных файла, оптимизированных для 32- и 64-битных систем.
Один из исполняемых файлов, именуемый внутри системы как PackerE, отвечает за загрузку зашифрованной DLL, которая, в свою очередь, инициирует вторую DLL, запускающую MassJacker. Полученный вредоносный компонент затем внедряется в легитимный процесс Windows – InstalUtil.exe, что позволяет ему оставаться незамеченным системными антивирусами.
Для обхода инструментов анализа зашифрованная DLL применяет такие методы, как JIT-хуки, изменение токенов метаданных и использование собственной виртуальной машины для интерпретации команд вместо выполнения стандартного.NET-кода. Эти технологии значительно усложняют процесс дешифровки и анализа, повышая эффективность скрытного распространения вредоносного ПО.
Исследования CyberArk выявили более 778 531 уникальных адресов, контролируемых злоумышленниками, из которых 423 кошелька содержали около 95 300 долларов. Общая стоимость цифровых активов, до вывода средств, оценивалась приблизительно в 336 700 долларов; один из кошельков, с балансом около 600 SOL (примерно 87 000 долларов), участвовал в более чем 350 транзакциях, аккумулируя средства с различных адресов.
Анализ исходного кода MassJacker показал сходство с известным вредоносным проектом MassLogger, использующим аналогичные JIT-технологии для противодействия анализу. Несмотря на отсутствие четкой атрибуции, эксперты отмечают, что методы обхода защиты и адаптивность данного ПО свидетельствуют о высоком уровне профессионализма его создателей.
Специалист по кибербезопасности Ари Новик акцентировал внимание на том, что заражение начинается с pesktop[.]com, а механизм замены адресов в буфере обмена создаёт серьезную угрозу для пользователей, ищущих пиратские версии программного обеспечения. Высказывания эксперта подчеркивают масштаб проблемы и необходимость усиленных мер защиты при работе с цифровыми активами.
