Los usuarios que buscan software pirateado son el objetivo de una nueva campaña de malware que ofrece un malware Clipper previamente indocumentado llamado MassJacker, según los hallazgos de Cybark.
Clipper Malware es un tipo de cryware (según lo acuñado por Microsoft) diseñado para monitorear el contenido de portapapeles de una víctima y facilitar el robo de criptomonedas mediante la sustitución de las direcciones de la billetera de criptomonedas copiadas con un atacante controlado por uno para reducirlos al adversario en lugar del objetivo previsto.
«La cadena de infecciones comienza en un sitio llamado Pesktop (.) Com», dijo el investigador de seguridad Ari Novick en un análisis publicado a principios de esta semana. «Este sitio, que se presenta como un sitio para obtener un software pirateado, también trata de que las personas descarguen todo tipo de malware».
El ejecutable inicial actúa como un conducto para ejecutar un script PowerShell que ofrece un malware Botnet llamado Amadey, así como otros dos binarios .NET, cada uno compilado para una arquitectura de 32 y 64 bits.
El binario, con código codificado Packere, es responsable de descargar una DLL cifrada, que, a su vez, carga un segundo archivo DLL que inicia la carga útil de MassJacker inyectándola en un proceso legítimo de Windows llamado «instalutil.exe».
La DLL cifrada incorpora características que mejoran su capacidad de evasión y anti-análisis, incluyendo el enganche justo en el tiempo (JIT), el mapeo de tokens de metadatos para ocultar las llamadas de funciones y una máquina virtual personalizada para interpretar comandos en lugar de ejecutar código .NET regular.
Massjacker, por su parte, viene con sus propias comprobaciones anti-fondos y una configuración para recuperar todos los patrones de expresión regulares para marcar direcciones de billetera de criptomonedas en el portapapeles. También contacta a un servidor remoto para descargar archivos que contienen la lista de billeteras bajo el control del actor de amenaza.
«Massjacker crea un manejador de eventos para que se ejecute cada vez que la víctima copia algo», dijo Novick. «El controlador verifica los reglas, y si encuentra una coincidencia, reemplaza el contenido copiado con una billetera que pertenece al actor de amenaza de la lista descargada».
Cyberark dijo que identificó más de 778,531 direcciones únicas que pertenecen a los atacantes, con solo 423 de ellas que contienen fondos por un total de aproximadamente $ 95,300. Pero la cantidad total de activos digitales mantenidos en todas estas billeteras antes de que se transfieran es de alrededor de $ 336,700.
Además, la criptomoneda por valor de aproximadamente $ 87,000 (600 SOL) se ha encontrado estacionado en una sola billetera, con más de 350 transacciones que canalizan dinero en la billetera de diferentes direcciones.
Se desconoce exactamente quién está detrás de Massjacker, aunque un examen más profundo del código fuente ha identificado superposiciones con otro malware conocido como MassLogger, que también ha aprovechado el enganche JIT en un intento por resistir los esfuerzos de análisis.