Yakın tarihli bir soruşturma, öncelikle pesktop.com gibi sitelerden korsan yazılımı indiren kullanıcıları hedefleyen Massjacker olarak adlandırılan daha önce bilinmeyen CryptoKacking kötü amaçlı yazılımını ortaya çıkardı.
Bu kötü amaçlı yazılım, kullanıcılar tarafından kopyalanan kripto para birimi cüzdanı adreslerini, saldırganlara ait olanlarla değiştirerek, fonları tehdit aktörlerinin cüzdanlarına yönlendirmeyi amaçlayarak çalışır.
Keşif, yetkisiz yazılım kaynaklarının kullanılmasıyla ilişkili riskleri ve kriptajlama tehditlerinin gelişen doğasını vurgulamaktadır.
Enfeksiyon zinciri ve teknikleri
Massjacker enfeksiyon zinciri, bir CMD komut dosyasının yürütülmesi ve ardından ek yürütülebilir ürünler indiren bir PowerShell komut dosyası ile başlar.
Bu yürütülebilir ürünlerden biri, tanınmış bir botnet olan Amadey olarak tanımlanırken, diğerleri farklı mimariler için derlenmiş DotNet yürütülebilir ürünlerdir.
Kötü amaçlı yazılım, tespitten kaçınmak için JIT kancası ve meta veri jeton haritalaması dahil olmak üzere sofistike anti-analiz teknikleri kullanır.
Bu teknikler, iki tehdit arasında olası bir bağlantı olduğunu düşündüren başka bir kötü amaçlı yazılım olan MassLogger tarafından kullanılan teknikleri andırıyor.
Kötü amaçlı yazılım, kontrol akışını yöneten ve ek kaynakları bozan komut dosyalarını yürüterek işlemlerini daha da gizlemek için özel bir sanal makine kullanır.
Tamamen yüklendikten sonra, Massjacker yükünü instalutil.exe adlı bir işleme enjekte eder ve burada kriptojik işlevselliği uygular.
Cyberark’a göre, bu, kopyalanan kripto para birimi adreslerinin saldırgan kontrollü olanlarla değiştirilmesini ve komut ve kontrol (C2) sunucularından şifreli cüzdan listelerini indirmeyi içerir.
Etki ve analiz
Soruşturma, Massjacker’ın 750.000’den fazla benzersiz cüzdan adresi ile ilişkili olduğunu ve bir cüzdanın 300.000 doların üzerinde olduğunu ortaya koydu.
Bununla birlikte, çoğu cüzdanın boş olduğu ve aktif cüzdanlardaki toplam para miktarı önemli ölçüde daha düşüktü.
Araştırmacılar, bu cüzdanlardaki paranın çoğunun kriptajlama faaliyetlerinden değil, diğer kötü amaçlı operasyonlardan kaynaklanabileceğinden şüpheleniyorlar.
Tutarlı bir şifreleme şemasının kullanılması, araştırmacıların eski dosyaları şifresini çözmesine ve ek adresleri ortaya çıkarmasına izin vererek kötü amaçlı yazılımların kapsamlı erişimini vurguladı.
Massjacker’ın keşfi, korsan yazılımlardan kaçınmanın önemini ve gelişen siber tehditlere karşı korunmak için güçlü güvenlik önlemlerine ihtiyaç olduğunu vurgulamaktadır.
Kripto para birimleri dikkat çekmeye devam ettikçe, Massjacker gibi kötü amaçlı yazılımlar hem kullanıcılar hem de güvenlik profesyonelleri için önemli bir endişe olarak kalacaktır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.