MassJacker: Így lopnak milliókat egy aljas módszerrel a kriptopénz-tulajdonosoktól
Egy újonnan felfedezett vágólap-eltérítő hadművelet, amelyet ‘MassJacker’-nek neveztek el, legalább 778 531 kriptovaluta-pénztárca címet használ digitális eszközök ellopására a kompromittált számítógépekről. A CyberArk szerint, akik felfedezték a MassJacker kampányt, mintegy 423 pénztárca, amely a művelethez kapcsolódik, az elemzés idején 95 300 dollárt tartalmazott, de a korábbi adatok jelentősebb tranzakciókra utalnak. Emellett létezik egy Solana pénztárca is, amelyet a támadók központi pénzfogadó központként használnak, és eddig több mint 300 000 dollárnyi tranzakciót halmozott fel. A CyberArk gyanúja szerint a teljes MassJacker művelet egy konkrét fenyegetési csoporthoz kapcsolódik, mivel a parancsnoki és irányítási szerverekről letöltött fájlnevek és a fájlok visszafejtéséhez használt titkosítási kulcsok azonosak voltak az egész kampány során.
Kicseréli a crypto címet, amit a vágólapra másoltál
Azonban a művelet még mindig követheti a malware-as-a-service modellt, ahol egy központi adminisztrátor különböző kiberbűnözőknek ad hozzáférést. A CyberArk a MassJackert cryptojacking műveletnek nevezi, bár ez a kifejezés gyakrabban kapcsolódik az áldozat feldolgozási/hardveres erőforrásait kihasználó jogosulatlan kriptovaluta-bányászathoz. Valójában a MassJacker a vágólap-eltérítő malware-ekre (clipperek) támaszkodik, amely olyan malware típus, amely figyeli a Windows vágólapot a másolt kriptovaluta-pénztárca címek után, és kicseréli azokat a támadó irányítása alatt álló címre. Így az áldozatok tudtukon kívül küldenek pénzt a támadóknak, bár valaki másnak szánták. A clipperek egyszerű, de nagyon hatékony eszközök, amelyeket különösen nehéz észlelni korlátozott funkcionalitásuk és működési körük miatt.
Technikai részletek
A MassJackert a pesktop[.]com-on keresztül terjesztik, egy olyan oldalon, amely kalóz szoftvereket és malware-eket tárol. Az erről az oldalról letöltött szoftvertelepítők végrehajtanak egy cmd szkriptet, amely elindít egy PowerShell szkriptet, amely letölt egy Amadey botot és két betöltő fájlt (PackerE és PackerD1). Az Amadey elindítja a PackerE-t, amely visszafejti és betölti a PackerD1-et a memóriába. A PackerD1 öt beágyazott erőforrással rendelkezik, amelyek javítják a kibúvási és elemzés elleni teljesítményét, beleértve a Just-In-Time (JIT) horogrendszert, metaadat-token leképezést a függvényhívások elrejtésére, és egy egyedi virtuális gépet a parancsok értelmezésére a szokásos .NET kód futtatása helyett. A PackerD1 visszafejti és injektálja a PackerD2-t, amely végül kibontja és kicsomagolja a végső hasznos terhet, a MassJackert, és beinjektálja a legitim Windows folyamatba, az ‘InstalUtil.exe’-be. A MassJacker regex mintázatok segítségével figyeli a vágólapot kriptovaluta-pénztárca címek után, és ha egyezést talál, kicseréli azt egy támadó által ellenőrzött pénztárca címre egy titkosított listából. A CyberArk arra kéri a kiberbiztonsági kutatói közösséget, hogy alaposabban vizsgálják meg a MassJackerhez hasonló nagy cryptojacking műveleteket, mivel az észlelt alacsony pénzügyi károk ellenére értékes azonosítási információkat fedhetnek fel számos fenyegetési szereplőről.
Érdemes megérteni, hogy a Photoshop már nemcsak a profik titkos fegyvere: az MI-eszközök jelentősen leegyszerűsítik a képszerkesztést, és olyan lehetőségeket nyitnak meg, amelyek eddig csak hosszadalmas kézi munkával voltak elérhetők...
🚀 Hatalmas dobás: a Google rekordösszegért, 11,8 billió forintért (32 milliárd dollárért) felvásárolta az izraeli Wiz nevű, villámgyorsan növekvő felhőbiztonsági vállalkozást...
🚗 Kissé ciki volt, de most helyrehozták: a Lucid Motors csütörtöktől végre kiad egy frissítést a Gravity SUV-hoz Észak-Amerikában, aminek köszönhetően már működik benne az Apple CarPlay és az Android Auto is...
🔥 Ó, édes Nagy-sziget (Big Island), te sosem spórolsz a drámával! Most épp a Kilauea vulkán eresztett el minden poklot: kilenc órán át nagyjából 4 millió köbméter (mintegy 16 millió köbyard) lávát lőtt ki, akár 400 méter magasra (1300 láb) – na tessék, ennyit arról, hogy csak földrengésekkel lehet villantani...
🚡 Aki mostanában repülni készül az Egyesült Államokban, annak komoly várakozási időkkel kell számolnia a reptereken, mert részlegesen leállt a kormányzati működés...
Tipikus eset, amikor két óriás összefog, hogy átrajzolják a városi közlekedés jövőjét: az Amazon tulajdonában álló Zoox és az Uber többéves megállapodást kötött, amelynek köszönhetően idén nyáron Las Vegasban, 2025-ben pedig Los Angelesben robotaxik lepik el az utakat...
🌊 Az Északi-tenger feneke alatt, 700 méter mélységben, Yorkshire partjaitól mintegy 130 km-re egy rejtett, három kilométer széles kráter található, amelynek eredete több mint húsz éve komoly tudományos vitákat váltott ki...
Egy lényeges szempont, hogy az emberek bizalmatlanokká válnak az MI-hangokkal szemben abban a pillanatban, amikor felismerik, hogy nem egy valódi ember beszél...
A nemzetközi űrverseny egyre izgalmasabbá válik, hiszen Kína és az Egyesült Államok versengve készülnek arra, hogy először embereket juttassanak vissza a Holdra...
Érdemes megvizsgálni, hogy egyre kifinomultabb módszerekkel támadják az okostelefonokat: most egy olyan androidos kártevő tűnt fel, amely Starlink-alkalmazásnak álcázza magát, miközben valójában a BeatBanker nevű csaló program rejtőzik mögötte...
Az Amazon bővíti egészségügyi MI-asszisztense, a Health AI elérhetőségét: mostantól nemcsak a One Medical alkalmazásban, hanem közvetlenül az Amazon weboldalán és alkalmazásában is hozzáférhető...
🚗 A Ford új lendületet ad a céges járműparkok irányításának: a Ford Pro AI névre hallgató, mesterséges intelligenciát használó szolgáltatás mostantól a Ford Pro telematikai szoftverébe épül be...
💉 Jellemző példa erre, hogy a világ egyik legveszélyesebb gyermekkori bélfertőzése ellen most először született hatékony védelem: a skandináv fejlesztésű ETVAX vakcina áttörő eredményeket mutat a halálos bélbaktérium, az enterotoxigén E...
📷 Az utóbbi években a Google minden termékébe minél több mesterséges intelligenciát (MI) igyekezett beépíteni, azonban a felhasználók nem mindig örülnek ennek...
🚀 Oké, szóval megérkezett a Chrome-ba épített Gemini chatbot Kanadába, Indiába és Új-Zélandra, ráadásul már több mint ötven nyelven lehet vele csevegni – köztük franciául, gujaratiul, hindiül, spanyolul és még sok más nyelven –, csakhogy a magyaroknak még várniuk kell egy kicsit...
💻 Dublin közvetlen közelében, Írország szívében indul el Európa első olyan adatközpontja, amely teljesen független, úgynevezett szigetüzemű mikrohálóra támaszkodik az energiaellátásban...
A bomló holttesteken nyüzsgő lárvák látványa nem túl gyomorkímélő, de a helyszínelők számára ezek az apró élőlények kulcsfontosságú bizonyítékok lehetnek...
Már tavaly novemberben is betelt a pohár: az Amazon nekiment a Perplexity nevű MI‑startupnak, és megtiltotta, hogy a Comet nevű MI‑böngészője engedély nélkül a felhasználók helyett vásároljon a webáruházukban...
🛠 A Microsoft kiadta a Windows 10 KB5078885 kumulatív biztonsági frissítést, amely számos fontos sebezhetőséget orvosol, köztük két aktívan kihasznált nulladik napi sérülékenységet, valamint egy olyan problémát, amely megakadályozta egyes eszközök leállítását vagy hibernálását...
