Korsan yazılım arayan kullanıcılar, Cyberark’ın bulgularına göre, daha önce belgelenmemiş bir Clipper kötü amaçlı yazılım sunan yeni bir kötü amaçlı yazılım kampanyasının hedefidir.
Clipper kötü amaçlı yazılım, bir kurbanın pano içeriğini izlemek ve kripto para birimi hırsızlığını, kopyalanmış kripto para birimi cüzdanı adreslerini, saldırgan kontrollü biriyle değiştirerek, arası hedef yerine rakiplere yönlendirecek şekilde kripto para hırsızlığını kolaylaştırır.
“Enfeksiyon zinciri pesktop adlı bir alanda başlar[.]Com, “Güvenlik araştırmacısı Ari Novick, bu haftanın başlarında yayınlanan bir analizde dedi.
İlk yürütülebilir, Amadey adlı bir botnet kötü amaçlı yazılımı ve her biri 32 ve 64 bit mimari için derlenmiş iki .NET ikili yazısı sunan bir PowerShell komut dosyası çalıştırmak için bir kanal görevi görür.
İkili, Codenamed Packere, şifreli bir DLL indirmekten sorumludur, bu da MassJacker yükünü “Instalutil.exe” adlı meşru bir Windows işlemine enjekte ederek başlatan ikinci bir DLL dosyasını yükler.
Şifrelenmiş DLL, tam zamanında (JIT) kancalama, işlev çağrılarını gizlemek için meta veri jeton eşlemesi ve komutları düzenli .net kodu çalıştırmanın aksine yorumlamak için özel bir sanal makine dahil olmak üzere kaçınma ve anti-analiz yeteneğini geliştiren özellikleri içerir.
Massjacker, kendi adına karşı anti-anti-kontrol kontrolleri ve panoya kripto para birimi cüzdan adreslerini işaretlemek için tüm normal ifade modellerini almak için bir yapılandırma ile birlikte gelir. Ayrıca, tehdit oyuncusu kontrolü altındaki cüzdan listesini içeren dosyaları indirmek için uzak bir sunucu ile iletişim kurar.
Novick, “Massjacker, kurban her şeyi kopyaladığında çalıştırılacak bir etkinlik işleyicisi oluşturuyor.” Dedi. “İşleyici Regexes’i kontrol eder ve bir eşleşme bulursa, kopyalanan içeriği indirilen listeden tehdit aktörüne ait bir cüzdanla değiştirir.”
Cyberark, saldırganlara ait 778.531’den fazla benzersiz adres tanımladığını ve sadece 423’ünün toplamda yaklaşık 95.300 dolarlık fon içerdiğini söyledi. Ancak, tüm bu cüzdanlarda aktarılmadan önce tutulan toplam dijital varlık miktarı, 336.700 $ civarında duruyor.
Dahası, yaklaşık 87.000 $ (600 SOL) değerinde kripto para birimi, tek bir cüzdanda park etmiş ve 350’den fazla işlem, farklı adreslerden cüzdana para huni yapıyor.
Kaynak kodunun daha derin bir incelemesi, MassLogger olarak bilinen başka bir kötü amaçlı yazılımla örtüşmeler tanımlamış olsa da, analiz çabalarına direnmek için JIT kancasını da tanımlamış olmasına rağmen, tam olarak Massjacker’ın arkasında kim bilinmemektedir.