Pengguna yang mencari perangkat lunak bajakan adalah target kampanye malware baru yang memberikan malware clipper yang sebelumnya tidak berdokumen yang disebut Massjacker, menurut temuan dari Cyberark.
Malware Clipper adalah jenis cryware (seperti yang diciptakan oleh Microsoft) yang dirancang untuk memantau konten clipboard korban dan memfasilitasi pencurian cryptocurrency dengan mengganti alamat dompet cryptocurrency yang disalin dengan yang dikendalikan oleh penyerang sehingga dapat mengubah mereka ke musuh alih-alih target yang dimaksud.
“Rantai infeksi dimulai di situs yang disebut Pesktop[.]com, “Peneliti keamanan Ari Novick mengatakan dalam analisis yang diterbitkan awal pekan ini.” Situs ini, yang menampilkan dirinya sebagai situs untuk mendapatkan perangkat lunak bajakan, juga mencoba membuat orang mengunduh semua jenis malware. “
Awal yang dapat dieksekusi bertindak sebagai saluran untuk menjalankan skrip PowerShell yang memberikan malware botnet bernama Amadey, serta dua binari .NET lainnya, masing-masing disusun untuk arsitektur 32 dan 64-bit.
Biner, dengan nama kode Packere, bertanggung jawab untuk mengunduh DLL terenkripsi, yang, pada gilirannya, memuat file DLL kedua yang meluncurkan muatan Massjacker dengan menyuntikkannya ke dalam proses Windows yang sah yang disebut “Instalutil.exe.”
DLL terenkripsi menggabungkan fitur-fitur yang meningkatkan kemampuan penghindaran dan anti-analisisnya, termasuk pengait just-in-time (JIT), pemetaan token metadata untuk menyembunyikan panggilan fungsi, dan mesin virtual khusus untuk menafsirkan perintah yang bertentangan dengan menjalankan kode .NET biasa.
Massjacker, untuk bagiannya, hadir dengan pemeriksaan anti-debugging sendiri dan konfigurasi untuk mengambil semua pola ekspresi reguler untuk menandai alamat dompet cryptocurrency di clipboard. Ini juga menghubungi server jarak jauh untuk mengunduh file yang berisi daftar dompet di bawah kendali aktor ancaman.
“Massjacker menciptakan event handler untuk dijalankan setiap kali korban menyalin apa pun,” kata Novick. “Pawang memeriksa regex, dan jika menemukan kecocokan, itu menggantikan konten yang disalin dengan dompet milik aktor ancaman dari daftar yang diunduh.”
Cyberark mengatakan itu mengidentifikasi lebih dari 778.531 alamat unik milik penyerang, dengan hanya 423 di antaranya berisi dana dengan total sekitar $ 95.300. Tetapi jumlah total aset digital yang dimiliki di semua dompet ini sebelum mereka ditransfer keluar dari sekitar $ 336.700.
Terlebih lagi, cryptocurrency bernilai sekitar $ 87.000 (600 SOL) telah ditemukan diparkir dalam satu dompet, dengan lebih dari 350 transaksi menyalurkan uang ke dompet dari alamat yang berbeda.
Tepatnya siapa yang berada di belakang Massjacker tidak diketahui, meskipun pemeriksaan yang lebih dalam dari kode sumber telah mengidentifikasi tumpang tindih dengan malware lain yang dikenal sebagai Masslogger, yang juga memanfaatkan Hooking JIT dalam upaya untuk menolak upaya analisis.
