MassJacker: Így lopnak milliókat egy aljas módszerrel a kriptopénz-tulajdonosoktól
Egy újonnan felfedezett vágólap-eltérítő hadművelet, amelyet ‘MassJacker’-nek neveztek el, legalább 778 531 kriptovaluta-pénztárca címet használ digitális eszközök ellopására a kompromittált számítógépekről. A CyberArk szerint, akik felfedezték a MassJacker kampányt, mintegy 423 pénztárca, amely a művelethez kapcsolódik, az elemzés idején 95 300 dollárt tartalmazott, de a korábbi adatok jelentősebb tranzakciókra utalnak. Emellett létezik egy Solana pénztárca is, amelyet a támadók központi pénzfogadó központként használnak, és eddig több mint 300 000 dollárnyi tranzakciót halmozott fel. A CyberArk gyanúja szerint a teljes MassJacker művelet egy konkrét fenyegetési csoporthoz kapcsolódik, mivel a parancsnoki és irányítási szerverekről letöltött fájlnevek és a fájlok visszafejtéséhez használt titkosítási kulcsok azonosak voltak az egész kampány során.
Kicseréli a crypto címet, amit a vágólapra másoltál
Azonban a művelet még mindig követheti a malware-as-a-service modellt, ahol egy központi adminisztrátor különböző kiberbűnözőknek ad hozzáférést. A CyberArk a MassJackert cryptojacking műveletnek nevezi, bár ez a kifejezés gyakrabban kapcsolódik az áldozat feldolgozási/hardveres erőforrásait kihasználó jogosulatlan kriptovaluta-bányászathoz. Valójában a MassJacker a vágólap-eltérítő malware-ekre (clipperek) támaszkodik, amely olyan malware típus, amely figyeli a Windows vágólapot a másolt kriptovaluta-pénztárca címek után, és kicseréli azokat a támadó irányítása alatt álló címre. Így az áldozatok tudtukon kívül küldenek pénzt a támadóknak, bár valaki másnak szánták. A clipperek egyszerű, de nagyon hatékony eszközök, amelyeket különösen nehéz észlelni korlátozott funkcionalitásuk és működési körük miatt.
Technikai részletek
A MassJackert a pesktop[.]com-on keresztül terjesztik, egy olyan oldalon, amely kalóz szoftvereket és malware-eket tárol. Az erről az oldalról letöltött szoftvertelepítők végrehajtanak egy cmd szkriptet, amely elindít egy PowerShell szkriptet, amely letölt egy Amadey botot és két betöltő fájlt (PackerE és PackerD1). Az Amadey elindítja a PackerE-t, amely visszafejti és betölti a PackerD1-et a memóriába. A PackerD1 öt beágyazott erőforrással rendelkezik, amelyek javítják a kibúvási és elemzés elleni teljesítményét, beleértve a Just-In-Time (JIT) horogrendszert, metaadat-token leképezést a függvényhívások elrejtésére, és egy egyedi virtuális gépet a parancsok értelmezésére a szokásos .NET kód futtatása helyett. A PackerD1 visszafejti és injektálja a PackerD2-t, amely végül kibontja és kicsomagolja a végső hasznos terhet, a MassJackert, és beinjektálja a legitim Windows folyamatba, az ‘InstalUtil.exe’-be. A MassJacker regex mintázatok segítségével figyeli a vágólapot kriptovaluta-pénztárca címek után, és ha egyezést talál, kicseréli azt egy támadó által ellenőrzött pénztárca címre egy titkosított listából. A CyberArk arra kéri a kiberbiztonsági kutatói közösséget, hogy alaposabban vizsgálják meg a MassJackerhez hasonló nagy cryptojacking műveleteket, mivel az észlelt alacsony pénzügyi károk ellenére értékes azonosítási információkat fedhetnek fel számos fenyegetési szereplőről.
Kína 2027-től betiltja az automatikus, süllyesztett ajtókilincseket az új autóknál, 2029-től pedig a már forgalomban lévő modelleknél is kötelező az átalakítás...
🔎 Dél-Korea kormánya és fő értéktőzsdéje, a Korea Exchange új MI-alapú eszközöket vet be, hogy kiszűrje azokat a manipulációs trükköket, amelyek során befektetők először felvásárolnak részvényeket vagy kriptovalutákat, majd hamis híreket terjesztve próbálják felpörgetni az árakat...
A Kraken kriptotőzsde mögött álló Payward elképesztő évet zárt: bevételei 33%-kal, 818 milliárd forintra emelkedtek, miközben a teljes tranzakciós volumen elérte a 2 billió dollárt (kb...
A francia hatóságok kedden razziát tartottak az X párizsi irodájában, miután büntetőeljárás indult a platform Grok nevű MI-eszköze miatt, amelyet széles körben használtak szexuálisan explicit képek generálására...
⚡ A Yale Egyetem és a Missouri Egyetem kutatói jelentős áttörést értek el a tiszta energiaforrások kutatásában: sikerült egy olcsó, könnyen hozzáférhető fém, a mangán segítségével hatékonyan átalakítani a szén-dioxidot formiáttá...
📱 A Nothing Phone 4a és a Nothing Phone 4a Pro várhatóan már március elején, pontosabban március 5-én mutatkoznak be, így aki új készülékre vágyik, annak már alig egy hónapot kell csak várnia...
🚀 A NASA ismét elhalasztja az Artemis II holdmisszió indítását, mert a hétfői próbán a rakéta és a floridai Kennedy Űrközpont indítóállványa között komoly hidrogénszivárgást észleltek...
🚀 Elon Musk újabb meghökkentő lépése alapjaiban formálja át a technológiai világot: a SpaceX váratlanul felvásárolta a három éve alapított xAI-t, így egyesült a rakétatechnológia, az MI és az űrinternet világa...
🕵 A napokban orosz hackerek, az APT28 (más néven Fancy Bear vagy Sofacy), kihasználták a Microsoft Office egy frissen javított sérülékenységét (CVE-2026-21509) célzott támadásokhoz Ukrajnában és más európai szervezetek ellen...
Érdekes felvetés, hogy a szívbetegségek, amelyek ma Magyarországon is vezető haláloknak számítanak, sok esetben megelőzhetők lennének egy kis odafigyeléssel...
Az MI és a kriptopiac összefonódása rengeteg izgalmat vált ki, de egyelőre hiányzik az a világos és közérthető alkalmazás, amely valódi áttörést hozna...
A francia hatóságok kibervédelmi egységei, az Europol támogatásával, razziát tartottak Elon Musk közösségi platformjának, az X-nek a párizsi irodáiban...