Korsan yazılım arayan kullanıcılar, Cyberark’ın bulgularına göre, daha önce belgelenmemiş bir Clipper kötü amaçlı yazılım sunan yeni bir kötü amaçlı yazılım kampanyasının hedefidir.
Clipper kötü amaçlı yazılım, bir kurbanın pano içeriğini izlemek ve kripto para birimi hırsızlığını, kopyalanmış kripto para birimi cüzdanı adreslerini, saldırgan kontrollü biriyle değiştirerek, arası hedef yerine rakiplere yönlendirecek şekilde kripto para hırsızlığını kolaylaştırır.
“Enfeksiyon zinciri pesktop adlı bir alanda başlar[.]com, “Güvenlik araştırmacısı Ari Novick söz konusu Bu haftanın başlarında yayınlanan bir analizde. “Kendini korsan yazılım almak için bir site olarak sunan bu site, insanların her türlü kötü amaçlı yazılımını indirmelerini sağlamaya da çalışıyor.”
İlk yürütülebilir, Amadey adlı bir botnet kötü amaçlı yazılımı ve her biri 32 ve 64 bit mimari için derlenmiş iki .NET ikili yazısı sunan bir PowerShell komut dosyası çalıştırmak için bir kanal görevi görür.
İkili, Codenamed Packere, şifreli bir DLL indirmekten sorumludur, bu da MassJacker yükünü “Instalutil.exe” adlı meşru bir Windows işlemine enjekte ederek başlatan ikinci bir DLL dosyasını yükler.
Şifrelenmiş DLL, tam zamanında dahil olmak üzere kaçınma ve anti-analiz yeteneğini artıran özellikleri içerir (Jit) İşlev çağrılarını gizlemek için kanca, meta veri belirteci eşlemesi ve komutları düzenli .NET kodunu çalıştırmanın aksine yorumlamak için özel bir sanal makine.
Massjacker, kendi adına karşı anti-anti-kontrol kontrolleri ve panoya kripto para birimi cüzdan adreslerini işaretlemek için tüm normal ifade modellerini almak için bir yapılandırma ile birlikte gelir. Ayrıca, tehdit oyuncusu kontrolü altındaki cüzdan listesini içeren dosyaları indirmek için uzak bir sunucu ile iletişim kurar.
Novick, “Massjacker, kurban her şeyi kopyaladığında çalıştırılacak bir etkinlik işleyicisi oluşturuyor.” Dedi. “İşleyici Regexes’i kontrol eder ve bir eşleşme bulursa, kopyalanan içeriği indirilen listeden tehdit aktörüne ait bir cüzdanla değiştirir.”
Cyberark, saldırganlara ait 778.531’den fazla benzersiz adres tanımladığını ve sadece 423’ünün toplamda yaklaşık 95.300 dolarlık fon içerdiğini söyledi. Ancak, tüm bu cüzdanlarda aktarılmadan önce tutulan toplam dijital varlık miktarı, 336.700 $ civarında duruyor.
Dahası, yaklaşık 87.000 $ (600 SOL) değerinde kripto para birimi, tek bir cüzdanda park etmiş ve 350’den fazla işlem, farklı adreslerden cüzdana para huni yapıyor.
Kaynak kodunun daha derin bir incelemesi ile tam olarak kimin arkasında kim bilinmemektedir. Başka bir kötü amaçlı yazılım Analiz çabalarına direnmek için JIT Hooking’den de yararlanan MassLogger olarak bilinir.
