MassJacker: Így lopnak milliókat egy aljas módszerrel a kriptopénz-tulajdonosoktól
Egy újonnan felfedezett vágólap-eltérítő hadművelet, amelyet ‘MassJacker’-nek neveztek el, legalább 778 531 kriptovaluta-pénztárca címet használ digitális eszközök ellopására a kompromittált számítógépekről. A CyberArk szerint, akik felfedezték a MassJacker kampányt, mintegy 423 pénztárca, amely a művelethez kapcsolódik, az elemzés idején 95 300 dollárt tartalmazott, de a korábbi adatok jelentősebb tranzakciókra utalnak. Emellett létezik egy Solana pénztárca is, amelyet a támadók központi pénzfogadó központként használnak, és eddig több mint 300 000 dollárnyi tranzakciót halmozott fel. A CyberArk gyanúja szerint a teljes MassJacker művelet egy konkrét fenyegetési csoporthoz kapcsolódik, mivel a parancsnoki és irányítási szerverekről letöltött fájlnevek és a fájlok visszafejtéséhez használt titkosítási kulcsok azonosak voltak az egész kampány során.
Kicseréli a crypto címet, amit a vágólapra másoltál
Azonban a művelet még mindig követheti a malware-as-a-service modellt, ahol egy központi adminisztrátor különböző kiberbűnözőknek ad hozzáférést. A CyberArk a MassJackert cryptojacking műveletnek nevezi, bár ez a kifejezés gyakrabban kapcsolódik az áldozat feldolgozási/hardveres erőforrásait kihasználó jogosulatlan kriptovaluta-bányászathoz. Valójában a MassJacker a vágólap-eltérítő malware-ekre (clipperek) támaszkodik, amely olyan malware típus, amely figyeli a Windows vágólapot a másolt kriptovaluta-pénztárca címek után, és kicseréli azokat a támadó irányítása alatt álló címre. Így az áldozatok tudtukon kívül küldenek pénzt a támadóknak, bár valaki másnak szánták. A clipperek egyszerű, de nagyon hatékony eszközök, amelyeket különösen nehéz észlelni korlátozott funkcionalitásuk és működési körük miatt.
Technikai részletek
A MassJackert a pesktop[.]com-on keresztül terjesztik, egy olyan oldalon, amely kalóz szoftvereket és malware-eket tárol. Az erről az oldalról letöltött szoftvertelepítők végrehajtanak egy cmd szkriptet, amely elindít egy PowerShell szkriptet, amely letölt egy Amadey botot és két betöltő fájlt (PackerE és PackerD1). Az Amadey elindítja a PackerE-t, amely visszafejti és betölti a PackerD1-et a memóriába. A PackerD1 öt beágyazott erőforrással rendelkezik, amelyek javítják a kibúvási és elemzés elleni teljesítményét, beleértve a Just-In-Time (JIT) horogrendszert, metaadat-token leképezést a függvényhívások elrejtésére, és egy egyedi virtuális gépet a parancsok értelmezésére a szokásos .NET kód futtatása helyett. A PackerD1 visszafejti és injektálja a PackerD2-t, amely végül kibontja és kicsomagolja a végső hasznos terhet, a MassJackert, és beinjektálja a legitim Windows folyamatba, az ‘InstalUtil.exe’-be. A MassJacker regex mintázatok segítségével figyeli a vágólapot kriptovaluta-pénztárca címek után, és ha egyezést talál, kicseréli azt egy támadó által ellenőrzött pénztárca címre egy titkosított listából. A CyberArk arra kéri a kiberbiztonsági kutatói közösséget, hogy alaposabban vizsgálják meg a MassJackerhez hasonló nagy cryptojacking műveleteket, mivel az észlelt alacsony pénzügyi károk ellenére értékes azonosítási információkat fedhetnek fel számos fenyegetési szereplőről.
Februártól a Discord világszerte bevezeti a kötelező életkor-ellenőrzést, ami azt jelenti, hogy minden fiók automatikusan a tiniknek megfelelő beállításokat kap, kivéve, ha a tulajdonos igazolja nagykorúságát...
Az új Samsung-telefonok tulajdonosai gyakran elárasztva érzik magukat a sok újdonságtól, különösen az MI-szolgáltatások miatt, amelyekből nem mindenki kér...
🚢 A távoli grönlandi Kitsissut-szigetek (Carey Islands) és Északkelet-Kanada között több mint 50 kilométeres, veszélyes tengeri út húzódik, amelyet ma is nehéz megtenni...
A Microsoft Exchange Online felhasználói napok óta szembesülnek azzal, hogy teljesen ártalmatlan e-mailjeiket a rendszer tévesen adathalásznak jelöli meg, majd automatikusan a karanténba helyezi azokat...
Az utóbbi években az okoshangszórók főként azzal próbálták elnyerni a tetszésünket, hogy 360 fokban szórják a hangot, így töltve meg zenével a teljes szobát...
A brüsszeli Európai Bizottság vizsgálatot indított, miután kibertámadás nyomait észlelték azon a rendszeren, amely a bizottsági munkatársak mobiltelefonjait kezeli...
💸 Egy lényeges szempont, hogy a Bitcoin árfolyama az elmúlt 24 órában újabb 2,5%-os visszaesést produkált, miután az előző hetet egy visszapattanással zárta, amely egészen 71 000 dollárig (kb...
Mélyen a Föld felszíne alatt egy ismeretlen világ rejtőzik, ahol mikroszkopikus lények, az úgynevezett „intraterrestrialok” akár több millió évig is szunnyadnak...
🔒 A BeyondTrust biztonsági szakértői kritikus sebezhetőséget fedeztek fel a Remote Support (RS) és a Privileged Remote Access (PRA) szoftverekben, amelyek világszerte több mint 11 000 rendszert érintenek...
Több közkedvelt fotóazonosító alkalmazás súlyos adatvédelmi hibát vétett: mintegy 152 000 felhasználó érzékeny adatai szivárogtak ki egy nyilvánosan elérhető adatbázison keresztül...
🔬 Titkos laborok, világszintű fejlesztés, saját gyártású robotkarok és horrorisztikus strapatesztek – így születik meg a Google Pixel, amely milliók zsebébe költözik...
Az elmúlt hetekben nagyot zuhant a bitcoin bányászati nehézsége, 11%-os visszaesése pedig a legnagyobb ilyen mértékű csökkenés Kína 2021-es kriptoszabályozási szigorítása óta...
A Super Bowl lezárultával az NFL új pályázatot hirdet: a fejlesztőket arra ösztönzi, hogy továbbfejlesszék az amerikaifutball-sisakok rácsát, és ezzel csökkentsék az agyrázkódások számát...
🌲 A világ erdői gyors ütemben változnak, ám a fejlődés csalóka: az erdők uniformizálódnak, elveszítik sokszínűségüket és egyre sérülékenyebbé válnak...
📈 A Novo Nordisk részvényei hétfő reggel közel 8%-kal emelkedtek, miután a Hims & Hers nevű telemedicina-szolgáltató visszavonta a Wegovy nevű fogyókúrás tabletta másolatának forgalmazását...
Az Apple hamarosan bemutathatja az új iPhone 17e-t, amely az iPhone 17 szériából ismert A19 chipet kap, és támogatja a MagSafe vezeték nélküli töltést is...
