Les utilisateurs à la recherche de logiciels piratés sont la cible d’une nouvelle campagne de logiciels malveillants qui fournit un logiciel malveillant Clipper précédemment sans papiers appelé Massjacker, selon les résultats de Cyberark.
Clipper Malware est un type de Cryware (tel que inventé par Microsoft) conçu pour surveiller le contenu du presse-papiers d’une victime et faciliter le vol de crypto-monnaie en substituant les adresses de portefeuille de crypto-monnaie copiées par une cible contrôlée par l’attaquant afin de les rediriger aux adversaires au lieu de la cible prévue.
“La chaîne d’infection commence sur un site appelé Pesktop[.]com, “chercheur en sécurité Ari Novick dit Dans une analyse publiée plus tôt cette semaine. “Ce site, qui se présente comme un site pour obtenir des logiciels piratés, essaie également d’amener les gens à télécharger toutes sortes de logiciels malveillants.”
L’exécutable initial agit comme un conduit pour exécuter un script PowerShell qui fournit un malware de botnet nommé Amadey, ainsi que deux autres binaires .NET, chacun compilé pour une architecture 32 et 64 bits.
Le binaire, nommé Packere, est responsable du téléchargement d’une DLL cryptée, qui, à son tour, charge un deuxième fichier DLL qui lance la charge utile Massjacker en l’injectant dans un processus Windows légitime appelé “instalutil.exe”.
La DLL cryptée intègre des caractéristiques qui améliorent sa capacité d’évasion et d’anti-analyse, y compris juste en temps (Jit) Crowing, mappage de jetons de métadonnées pour cacher les appels de fonction et une machine virtuelle personnalisée pour interpréter les commandes au lieu d’exécuter un code .NET régulier.
Massjacker, pour sa part, est livré avec ses propres vérifications anti-débugage et une configuration pour récupérer tous les modèles d’expression réguliers pour signaler les adresses de portefeuille de crypto-monnaie dans le presse-papiers. Il contacte également un serveur distant pour télécharger des fichiers contenant la liste des portefeuilles sous le contrôle de l’acteur de menace.
“Massjacker crée un gestionnaire d’événements à courir chaque fois que la victime copie quoi que ce soit”, a déclaré Novick. “Le gestionnaire vérifie les experts, et s’il trouve une correspondance, il remplace le contenu copié par un portefeuille appartenant à l’acteur de menace de la liste téléchargée.”
Cyberark a déclaré avoir identifié plus de 778 531 adresses uniques appartenant aux attaquants, dont seulement 423 contenant des fonds totalisant environ 95 300 $. Mais le montant total des actifs numériques détenus dans tous ces portefeuilles avant leur transfert s’élève à environ 336 700 $.
De plus, la crypto-monnaie d’une valeur d’environ 87 000 $ (600 SOL) a été retrouvée stationnée dans un seul portefeuille, avec plus de 350 transactions canalisant de l’argent dans le portefeuille à partir de différentes adresses.
Exactement qui est derrière Massjacker est inconnu, bien qu’un examen plus profond du code source ait identifié des chevauchements avec Un autre malware Connue sous le nom de Masslogger, qui a également exploité le jit accroché pour tenter de résister aux efforts d’analyse.




