Los usuarios que buscan software pirateado son el objetivo de una nueva campa\u00f1a de malware que ofrece un malware Clipper previamente indocumentado llamado MassJacker, seg\u00fan los hallazgos de Cybark.<\/p>\n
Clipper Malware es un tipo de cryware (seg\u00fan lo acu\u00f1ado por Microsoft) dise\u00f1ado para monitorear el contenido de portapapeles de una v\u00edctima y facilitar el robo de criptomonedas mediante la sustituci\u00f3n de las direcciones de la billetera de criptomonedas copiadas con un atacante controlado por uno para reducirlos al adversario en lugar del objetivo previsto.<\/p>\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/03\/El-nuevo-malware-Massjacker-se-dirige-a-usuarios-de-pirateria.png\")
<\/a><\/center><\/div>\n“La cadena de infecci\u00f3n comienza en un sitio llamado Pesktop[.]com, “Investigador de seguridad Ari Novick dicho<\/a> En un an\u00e1lisis publicado a principios de esta semana. “Este sitio, que se presenta como un sitio para obtener un software pirateado, tambi\u00e9n trata de que las personas descarguen todo tipo de malware”.<\/p>\n El ejecutable inicial act\u00faa como un conducto para ejecutar un script PowerShell que ofrece un malware Botnet llamado Amadey, as\u00ed como otros dos binarios .NET, cada uno compilado para una arquitectura de 32 y 64 bits.<\/p>\n El binario, con c\u00f3digo codificado Packere, es responsable de descargar una DLL cifrada, que, a su vez, carga un segundo archivo DLL que inicia la carga \u00fatil de MassJacker inyect\u00e1ndola en un proceso leg\u00edtimo de Windows llamado “instalutil.exe”.<\/p>\n La DLL cifrada incorpora caracter\u00edsticas que mejoran su capacidad de evasi\u00f3n y anti-an\u00e1lisis, incluido el tiempo justo en el tiempo (Jit<\/a>) Conacimiento, mapeo de tokens de metadatos para ocultar llamadas de funciones y una m\u00e1quina virtual personalizada para interpretar comandos en lugar de ejecutar el c\u00f3digo .NET regular.<\/p>\n Massjacker, por su parte, viene con sus propias comprobaciones anti-fondos y una configuraci\u00f3n para recuperar todos los patrones de expresi\u00f3n regulares para marcar direcciones de billetera de criptomonedas en el portapapeles. Tambi\u00e9n contacta a un servidor remoto para descargar archivos que contienen la lista de billeteras bajo el control del actor de amenaza.<\/p>\n “Massjacker crea un manejador de eventos para que se ejecute cada vez que la v\u00edctima copia algo”, dijo Novick. “El controlador verifica los reglas, y si encuentra una coincidencia, reemplaza el contenido copiado con una billetera que pertenece al actor de amenaza de la lista descargada”.<\/p>\n Cyberark dijo que identific\u00f3 m\u00e1s de 778,531 direcciones \u00fanicas que pertenecen a los atacantes, con solo 423 de ellas que contienen fondos por un total de aproximadamente $ 95,300. Pero la cantidad total de activos digitales mantenidos en todas estas billeteras antes de que se transfieran es de alrededor de $ 336,700.<\/p>\n Adem\u00e1s, la criptomoneda por valor de aproximadamente $ 87,000 (600 SOL) se ha encontrado estacionado en una sola billetera, con m\u00e1s de 350 transacciones que canalizan dinero en la billetera de diferentes direcciones. <\/p>\n Se desconoce exactamente qui\u00e9n est\u00e1 detr\u00e1s de Massjacker, aunque un examen m\u00e1s profundo del c\u00f3digo fuente ha identificado superposiciones con otro malware<\/a> Conocido como MassLogger, que tambi\u00e9n ha aprovechado el enganche JIT en un intento por resistir los esfuerzos de an\u00e1lisis.<\/p>\n <\/p>\n<\/a><\/div>\n<\/a><\/center><\/div>\n