MassJacker: Így lopnak milliókat egy aljas módszerrel a kriptopénz-tulajdonosoktól

MassJacker: Így lopnak milliókat egy aljas módszerrel a kriptopénz-tulajdonosoktól
Egy újonnan felfedezett vágólap-eltérítő hadművelet, amelyet ‘MassJacker’-nek neveztek el, legalább 778 531 kriptovaluta-pénztárca címet használ digitális eszközök ellopására a kompromittált számítógépekről. A CyberArk szerint, akik felfedezték a MassJacker kampányt, mintegy 423 pénztárca, amely a művelethez kapcsolódik, az elemzés idején 95 300 dollárt tartalmazott, de a korábbi adatok jelentősebb tranzakciókra utalnak. Emellett létezik egy Solana pénztárca is, amelyet a támadók központi pénzfogadó központként használnak, és eddig több mint 300 000 dollárnyi tranzakciót halmozott fel. A CyberArk gyanúja szerint a teljes MassJacker művelet egy konkrét fenyegetési csoporthoz kapcsolódik, mivel a parancsnoki és irányítási szerverekről letöltött fájlnevek és a fájlok visszafejtéséhez használt titkosítási kulcsok azonosak voltak az egész kampány során.  

Kicseréli a crypto címet, amit a vágólapra másoltál

Azonban a művelet még mindig követheti a malware-as-a-service modellt, ahol egy központi adminisztrátor különböző kiberbűnözőknek ad hozzáférést. A CyberArk a MassJackert cryptojacking műveletnek nevezi, bár ez a kifejezés gyakrabban kapcsolódik az áldozat feldolgozási/hardveres erőforrásait kihasználó jogosulatlan kriptovaluta-bányászathoz. Valójában a MassJacker a vágólap-eltérítő malware-ekre (clipperek) támaszkodik, amely olyan malware típus, amely figyeli a Windows vágólapot a másolt kriptovaluta-pénztárca címek után, és kicseréli azokat a támadó irányítása alatt álló címre. Így az áldozatok tudtukon kívül küldenek pénzt a támadóknak, bár valaki másnak szánták. A clipperek egyszerű, de nagyon hatékony eszközök, amelyeket különösen nehéz észlelni korlátozott funkcionalitásuk és működési körük miatt.

Technikai részletek

A MassJackert a pesktop[.]com-on keresztül terjesztik, egy olyan oldalon, amely kalóz szoftvereket és malware-eket tárol. Az erről az oldalról letöltött szoftvertelepítők végrehajtanak egy cmd szkriptet, amely elindít egy PowerShell szkriptet, amely letölt egy Amadey botot és két betöltő fájlt (PackerE és PackerD1). Az Amadey elindítja a PackerE-t, amely visszafejti és betölti a PackerD1-et a memóriába. A PackerD1 öt beágyazott erőforrással rendelkezik, amelyek javítják a kibúvási és elemzés elleni teljesítményét, beleértve a Just-In-Time (JIT) horogrendszert, metaadat-token leképezést a függvényhívások elrejtésére, és egy egyedi virtuális gépet a parancsok értelmezésére a szokásos .NET kód futtatása helyett. A PackerD1 visszafejti és injektálja a PackerD2-t, amely végül kibontja és kicsomagolja a végső hasznos terhet, a MassJackert, és beinjektálja a legitim Windows folyamatba, az ‘InstalUtil.exe’-be. A MassJacker regex mintázatok segítségével figyeli a vágólapot kriptovaluta-pénztárca címek után, és ha egyezést talál, kicseréli azt egy támadó által ellenőrzött pénztárca címre egy titkosított listából. A CyberArk arra kéri a kiberbiztonsági kutatói közösséget, hogy alaposabban vizsgálják meg a MassJackerhez hasonló nagy cryptojacking műveleteket, mivel az észlelt alacsony pénzügyi károk ellenére értékes azonosítási információkat fedhetnek fel számos fenyegetési szereplőről.

  • Te mit gondolsz erről, hogy az emberek letöltik a kalózszoftvereket annak tudatában, hogy kockázatokkal járhat?
  • Te mit tettél volna a helyükben, hogy elkerüld ezeket a vágólap-eltérítő támadásokat?



Legfrissebb posztok


vasárnap 23:50

Az MI-hamisítás elleni titkos fegyver: SynthID

A generatív MI forradalmasítja a kreativitást, a produktivitást és az innovációt, de egyre nehezebb eldönteni, hogy egy tartalom valódi-e, vagy mesterséges intelligencia hozta-e létre. Erre kínál megoldást a...

A Meta beszigorít: MI-csevegők letiltva a tiniknek

vasárnap 23:26

A Meta beszigorít: MI-csevegők letiltva a tiniknek

🔒 A Meta átmeneti biztonsági intézkedéseket vezet be, hogy megvédje a tinédzser felhasználókat az MI-csevegők okozta károktól, miközben egyre több bírálat éri a technológiai cégeket. A cég szóvivője, Stephanie...

Az európai tőzsdék estek, a Drax nyolc százalékot zuhant

vasárnap 23:01

Az európai tőzsdék estek, a Drax nyolc százalékot zuhant

📉 Európa tőzsdéi csütörtökön visszaestek, miután a befektetők értékelték egy amerikai technológiai óriás vártnál jobb negyedéves eredményeit. A vállalat, amely termékeivel többek között az Apple-t, az Amazont, a Metát...

A fenékhúzás rejtett veszélye, az ipari halászat klímabombája

vasárnap 22:26

A fenékhúzás rejtett veszélye, az ipari halászat klímabombája

A fenékhúzásos halászat brutális módszer, amely komoly pusztítást végez a tengeri élőhelyeken. Egy nehézfémből készült hálót nagy sebességgel húznak végig a tengerfenéken, felkavarva az üledéket, és mindent elnyelve,...

Az MI miatt egyszerre nyerünk és veszítünk, mondják a Z generáció tagjai

vasárnap 22:01

Az MI miatt egyszerre nyerünk és veszítünk, mondják a Z generáció tagjai

😐 Az MI gyors ütemű terjedése soha nem látott átalakulásokat hoz a munka világában, de az igazi, átfogó kép csak most kezd kirajzolódni. A Stanford Egyetem kutatói legújabb tanulmányukban...

Áttörés egy rejtett fehérje segíthet a zsírégetésben és az anyagcserében

vasárnap 21:52

Áttörés egy rejtett fehérje segíthet a zsírégetésben és az anyagcserében

A sejtek életének motorjai, a mitokondriumok úgy működnek, mint ahogyan a méhek élettel töltik meg a kerteket: energiát termelnek, és így lüktet mindennapjaink biológiája. Hogy ezek a mini-erőművek...

Mitől lesz hasznos az MI, ezt várják a köztisztviselők

vasárnap 21:27

Mitől lesz hasznos az MI, ezt várják a köztisztviselők

💡 A Civic Roundtable alapítói egy évtizeden át dolgoztak állami szerveknél, így testközelből tapasztalták, milyen óriási a tét a közszférában: ha elavult a technológia, az emberek eleshetnek az egészségügyi...

Újabb kriptós trükk hajtja fel a Trump Media árfolyamát

vasárnap 21:01

Újabb kriptós trükk hajtja fel a Trump Media árfolyamát

Donald Trump médiabirodalma ismét a kriptopénzek világához nyúl, hogy felturbózza részvényeit. A Truth Social (Trump saját közösségi platformja) és a Truth+ mostantól jutalmazási rendszert indít a Crypto.com digitális...

Az MI végre betört a Libby-be: jönnek a könyvajánlások!

vasárnap 20:51

Az MI végre betört a Libby-be: jönnek a könyvajánlások!

📚 A népszerű Libby digitális könyvtáralkalmazás hamarosan új, MI-alapú ajánlórendszerrel bővül Inspire Me néven (Inspire Me). Az újdonság szeptembertől lesz hivatalosan elérhető, és az olvasási szokásaid, valamint a helyi...