MassJacker: Így lopnak milliókat egy aljas módszerrel a kriptopénz-tulajdonosoktól
Egy újonnan felfedezett vágólap-eltérítő hadművelet, amelyet ‘MassJacker’-nek neveztek el, legalább 778 531 kriptovaluta-pénztárca címet használ digitális eszközök ellopására a kompromittált számítógépekről. A CyberArk szerint, akik felfedezték a MassJacker kampányt, mintegy 423 pénztárca, amely a művelethez kapcsolódik, az elemzés idején 95 300 dollárt tartalmazott, de a korábbi adatok jelentősebb tranzakciókra utalnak. Emellett létezik egy Solana pénztárca is, amelyet a támadók központi pénzfogadó központként használnak, és eddig több mint 300 000 dollárnyi tranzakciót halmozott fel. A CyberArk gyanúja szerint a teljes MassJacker művelet egy konkrét fenyegetési csoporthoz kapcsolódik, mivel a parancsnoki és irányítási szerverekről letöltött fájlnevek és a fájlok visszafejtéséhez használt titkosítási kulcsok azonosak voltak az egész kampány során.
Kicseréli a crypto címet, amit a vágólapra másoltál
Azonban a művelet még mindig követheti a malware-as-a-service modellt, ahol egy központi adminisztrátor különböző kiberbűnözőknek ad hozzáférést. A CyberArk a MassJackert cryptojacking műveletnek nevezi, bár ez a kifejezés gyakrabban kapcsolódik az áldozat feldolgozási/hardveres erőforrásait kihasználó jogosulatlan kriptovaluta-bányászathoz. Valójában a MassJacker a vágólap-eltérítő malware-ekre (clipperek) támaszkodik, amely olyan malware típus, amely figyeli a Windows vágólapot a másolt kriptovaluta-pénztárca címek után, és kicseréli azokat a támadó irányítása alatt álló címre. Így az áldozatok tudtukon kívül küldenek pénzt a támadóknak, bár valaki másnak szánták. A clipperek egyszerű, de nagyon hatékony eszközök, amelyeket különösen nehéz észlelni korlátozott funkcionalitásuk és működési körük miatt.
Technikai részletek
A MassJackert a pesktop[.]com-on keresztül terjesztik, egy olyan oldalon, amely kalóz szoftvereket és malware-eket tárol. Az erről az oldalról letöltött szoftvertelepítők végrehajtanak egy cmd szkriptet, amely elindít egy PowerShell szkriptet, amely letölt egy Amadey botot és két betöltő fájlt (PackerE és PackerD1). Az Amadey elindítja a PackerE-t, amely visszafejti és betölti a PackerD1-et a memóriába. A PackerD1 öt beágyazott erőforrással rendelkezik, amelyek javítják a kibúvási és elemzés elleni teljesítményét, beleértve a Just-In-Time (JIT) horogrendszert, metaadat-token leképezést a függvényhívások elrejtésére, és egy egyedi virtuális gépet a parancsok értelmezésére a szokásos .NET kód futtatása helyett. A PackerD1 visszafejti és injektálja a PackerD2-t, amely végül kibontja és kicsomagolja a végső hasznos terhet, a MassJackert, és beinjektálja a legitim Windows folyamatba, az ‘InstalUtil.exe’-be. A MassJacker regex mintázatok segítségével figyeli a vágólapot kriptovaluta-pénztárca címek után, és ha egyezést talál, kicseréli azt egy támadó által ellenőrzött pénztárca címre egy titkosított listából. A CyberArk arra kéri a kiberbiztonsági kutatói közösséget, hogy alaposabban vizsgálják meg a MassJackerhez hasonló nagy cryptojacking műveleteket, mivel az észlelt alacsony pénzügyi károk ellenére értékes azonosítási információkat fedhetnek fel számos fenyegetési szereplőről.
Egy francia egészségügyi szoftvercég, a Cegedim Santé rendszerét súlyos, célzott kibertámadás érte, amely során érzékeny betegadatok milliói kerültek veszélybe...
Továbbá a téli reggelek egyik legnagyobb bosszúsága az elektromos autók tulajdonosai számára, amikor hirtelen, drasztikusan lecsökken járművük hatótávolsága...
Az Apple legújabb fejlesztése, az M5 Pro és M5 Max, új szintre emeli a MacBook Pro teljesítményét: a világ jelenlegi legfejlettebb professzionális laptopprocesszorai mutatkoznak be...
🔏 Érdekes felvetés, hogy a legújabb kibertámadások éppen egy régóta elfogadott, megbízhatónak vélt technológiai szabvány, az OAuth hibakezelésében rejlő hiányosságokat használják ki...
Annak vizsgálatára, hogy az érzelmi kötődés mennyire alapvető szükséglet: egy Japánban élő, Punch nevű hím makákó története bejárta a világot, miután anyja elhagyta őt, később pedig társai is kirekesztették az Ichikawa City Állatkertben...
A mai Magyarország területén, az újkőkorszakban élt emberek temetkezési szokásai és munkaelosztása jóval árnyaltabb képet mutatnak, mint azt sokáig gondoltuk...
Felmerül a kérdés, hogy a James Webb űrteleszkóp új felfedezései vajon választ adnak-e arra, hogyan születtek az univerzum első óriáscsillagai, és miként jöttek létre a legelső szupermasszív fekete lyukak...
Egy lényeges szempont, hogy a Yellowstone Nemzeti Parkban a farkasok és a pumák között állandó a feszültség, de ennek oka nem feltétlenül az, amire elsőre gondolnánk...
A kutatóknak sikerült feltárniuk, miért képesek bizonyos agysejtek sokkal jobban ellenállni az Alzheimer-kór egyik fő károsító tényezőjének, a toxikus tau fehérjének, mint mások...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. Four Last Things (iPhone/iPad)A Four Last Things egy point-and-click kalandjáték, amelyben a játékos középkori festményekből összevágott világban mozog...
😱 Az Alibaba Qwen MI-projektje hirtelen elveszítette központi technikai vezetőjét, mindössze egy nappal azután, hogy a kínai óriás bemutatta új, nyílt súlyú Qwen 3...
Egy meg nem nevezett amerikai telephelyen a hackerek betörtek az AkzoNobel rendszereibe, és nem is akárkik: az Anubis nevű, hírhedt zsarolóvírus-banda...
A Ziff Davis, a kommunikációs óriás eladja legendás hálózatos márkáit – köztük a DownDetector, a Speedtest, az Ekahau és a RootMetrics neveket –, valamint minden kapcsolódó eszközt az Accenture-nek, méghozzá 1,2 milliárd dollárért, vagyis közel 440 milliárd forintért...
🔔 A rendőrség évek óta tartó munkáját könnyebbé teszi az olyan háztartási technológia, mint a videós ajtócsengő – állítja Jamie Siminoff, a Ring alapítója és vezetője...