MassJacker: Így lopnak milliókat egy aljas módszerrel a kriptopénz-tulajdonosoktól
Egy újonnan felfedezett vágólap-eltérítő hadművelet, amelyet ‘MassJacker’-nek neveztek el, legalább 778 531 kriptovaluta-pénztárca címet használ digitális eszközök ellopására a kompromittált számítógépekről. A CyberArk szerint, akik felfedezték a MassJacker kampányt, mintegy 423 pénztárca, amely a művelethez kapcsolódik, az elemzés idején 95 300 dollárt tartalmazott, de a korábbi adatok jelentősebb tranzakciókra utalnak. Emellett létezik egy Solana pénztárca is, amelyet a támadók központi pénzfogadó központként használnak, és eddig több mint 300 000 dollárnyi tranzakciót halmozott fel. A CyberArk gyanúja szerint a teljes MassJacker művelet egy konkrét fenyegetési csoporthoz kapcsolódik, mivel a parancsnoki és irányítási szerverekről letöltött fájlnevek és a fájlok visszafejtéséhez használt titkosítási kulcsok azonosak voltak az egész kampány során.
Kicseréli a crypto címet, amit a vágólapra másoltál
Azonban a művelet még mindig követheti a malware-as-a-service modellt, ahol egy központi adminisztrátor különböző kiberbűnözőknek ad hozzáférést. A CyberArk a MassJackert cryptojacking műveletnek nevezi, bár ez a kifejezés gyakrabban kapcsolódik az áldozat feldolgozási/hardveres erőforrásait kihasználó jogosulatlan kriptovaluta-bányászathoz. Valójában a MassJacker a vágólap-eltérítő malware-ekre (clipperek) támaszkodik, amely olyan malware típus, amely figyeli a Windows vágólapot a másolt kriptovaluta-pénztárca címek után, és kicseréli azokat a támadó irányítása alatt álló címre. Így az áldozatok tudtukon kívül küldenek pénzt a támadóknak, bár valaki másnak szánták. A clipperek egyszerű, de nagyon hatékony eszközök, amelyeket különösen nehéz észlelni korlátozott funkcionalitásuk és működési körük miatt.
Technikai részletek
A MassJackert a pesktop[.]com-on keresztül terjesztik, egy olyan oldalon, amely kalóz szoftvereket és malware-eket tárol. Az erről az oldalról letöltött szoftvertelepítők végrehajtanak egy cmd szkriptet, amely elindít egy PowerShell szkriptet, amely letölt egy Amadey botot és két betöltő fájlt (PackerE és PackerD1). Az Amadey elindítja a PackerE-t, amely visszafejti és betölti a PackerD1-et a memóriába. A PackerD1 öt beágyazott erőforrással rendelkezik, amelyek javítják a kibúvási és elemzés elleni teljesítményét, beleértve a Just-In-Time (JIT) horogrendszert, metaadat-token leképezést a függvényhívások elrejtésére, és egy egyedi virtuális gépet a parancsok értelmezésére a szokásos .NET kód futtatása helyett. A PackerD1 visszafejti és injektálja a PackerD2-t, amely végül kibontja és kicsomagolja a végső hasznos terhet, a MassJackert, és beinjektálja a legitim Windows folyamatba, az ‘InstalUtil.exe’-be. A MassJacker regex mintázatok segítségével figyeli a vágólapot kriptovaluta-pénztárca címek után, és ha egyezést talál, kicseréli azt egy támadó által ellenőrzött pénztárca címre egy titkosított listából. A CyberArk arra kéri a kiberbiztonsági kutatói közösséget, hogy alaposabban vizsgálják meg a MassJackerhez hasonló nagy cryptojacking műveleteket, mivel az észlelt alacsony pénzügyi károk ellenére értékes azonosítási információkat fedhetnek fel számos fenyegetési szereplőről.
🏝 Hawaii őshonos vízimadarainak eltűnéséről évtizedeken át szinte megkérdőjelezhetetlen mítosz tartotta magát: sokáig mindenki azt hitte, hogy az őslakosok vadászata vezetett ezeknek a fajoknak a kihalásához...
A GoPro látványosan új szintre emeli az akciókamerák világát a Mission 1 szériával, amely három különböző modellt kínál: a Mission 1, a Mission 1 Pro és a Mission 1 Pro ILS készülékeket...
A Goldman Sachs újabb lépést tesz a kriptopiac felé: most egy olyan tőzsdén kereskedett alap (ETF) bevezetésére készül, amely bitcoinhoz kötött opciók eladásával igyekszik jövedelmet generálni a befektetőknek...
Az elmúlt években a repülőgépen elérhető Wi‑Fi inkább bosszantó marketingfogás volt, mint használható szolgáltatás: az üzenetküldés nehezen ment, a videostreamelésről nem is beszélve...
Az MI-alapú képgenerálásban hónapok óta a Gemini képgenerátorát használom, mert már első próbálkozásra közelebb jut a kívánt végeredményhez, mint a ChatGPT...
🚀 A laptopokat hűtőventilátorok, speciális hűtőbordák védik a túlmelegedéstől, de ezek a megoldások mit sem érnek extrém forróságban, például a Vénuszon, ahol a hőmérséklet eléri a 400 °C-ot...
Márciusban először fordult elő az Egyesült Államokban, hogy a megújuló energiaforrások – vagyis a nap-, szél-, víz- és bioenergia – több áramot termeltek, mint a földgáz...
🚀 Az Amazon igazán nagy dobásra készül: összeolvad a Globalstarral, vagyis azzal a műholdas szolgáltatóval, amely az iPhone-ok és az Apple Watchok híres SOS-rendszere mögött áll...
⚠ A wolfSSL egy kifejezetten beágyazott rendszerekre, ipari eszközökre, routerekre, IoT- és autóipari rendszerekre, sőt akár katonai berendezésekre fejlesztett, C nyelvű, könnyűsúlyú TLS/SSL-könyvtár...
⚠ Többek között átfogó biztonsági intézkedésekkel reagál az OpenAI egy közelmúltbeli ellátási lánc elleni támadásra, amely során egy rosszindulatú Axios-csomag is lefutott a cég GitHub Actions automatizált folyamataiban...
Egy 63 éves férfi, akit csak „az oslói betegként” emlegetnek, jó eséllyel végleg megszabadult a HIV-től – méghozzá egy szokatlan csontvelő-átültetésnek köszönhetően, amely teljesen átalakította az immunrendszerét...
Erre utal többek között az, hogy végre búcsút inthetsz annak a kínos Gmail-címnek, amelyet még tinédzserként választottál magadnak, és mindeddig kísértett az álláskereséstől kezdve az ügyintézésig...
🕵 Ismét támadás érte a Rockstar Games-t: több mint 78,6 millió belső analitikai rekord szivárgott ki, miután az Anodot nevű adatfelügyeleti cégnél történt biztonsági incidens miatt a ShinyHunters zsarolócsoport megszerezte a hozzáférést...
💰 A bitcoin újra megközelítette a 75 000 dolláros (27,3 millió forintos) szintet, amelyet február eleje óta többszöri próbálkozásra sem sikerült tartósan áttörnie...
A modern okostelefonok egyre fejlettebb biztonsági védelemmel rendelkeznek, mégis éppen ott sérülékenyek, ahol a legkevésbé számítanánk: a modem szoftverében...