СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
19.03.2025
#ИБ

MassJacker: Новый вредоносный софт для кражи криптовалюты

MassJacker: Новый вредоносный софт для кражи криптовалюты

Недавно была обнаружена вредоносная программа MassJacker, нацеленная на кражу криптовалюты у пользователей через зараженные компьютеры. Вредоносное ПО распространяется через сайт, который утверждает, что предлагает пиратское программное обеспечение, что представляет серьезную угрозу для пользователей криптовалют.

Как работает MassJacker?

MassJacker запускает набор скриптов, загружающих несколько исполняемых файлов. Один из них идентифицируется как Amadey, известный ботнет. Вредоносная программа состоит из двух основных исполняемых файлов:

  • Для 32-разрядной архитектуры
  • Для 64-разрядной архитектуры

Эти файлы используют ряд динамически подключаемых библиотек (DLL) для выполнения своей полезной нагрузки. Ключевая библиотека DLL, известная как PackerE, загружает зашифрованную библиотеку DLL PackerD1, которая применяет сложные методы антианализа, такие как JIT interception. Это затрудняет статический анализ, изменяя код во время выполнения.

Потенциалы и вред

PackerD1 включает ресурсы для защиты от анализа и затруднения поведения. Один из ключевых ресурсов предоставляет отображение токенов метаданных для запутывания потока управления, что напоминает ранее описанную программу MassLogger. Несмотря на первоначальные подозрения о сходстве с MassLogger, MassJacker фокусируется исключительно на криптоджекинге.

Внедрение и обман

После выполнения своих функций PackerD1 загружает PackerD2, использующий технологию Sewing. Эта библиотека DLL упрощает внедрение MassJacker в законный процесс Windows InstalUtil.exe. Внедрение сопровождается дополнительными мерами по борьбе с анализом:

  • Проверка на наличие отладчиков
  • Обходные действия для маскировки его активности

Экономические масштабы и последствия

Основная функция MassJacker заключается в отслеживании содержимого буфера обмена на наличие адресов криптовалюты и замене их на адреса, принадлежащие хакерам. Анализ вредоносного ПО показал, что с ним связано более 750 000 уникальных криптовалютных адресов, общая потенциальная стоимость которых составляет свыше 300 000 долларов.

Существуют подозрения, что большая часть этих средств была получена в результате незаконных действий, не ограничивающихся лишь кражей криптовалюты.

Выводы и рекомендации

Расследование MassJacker вызывает опасения относительно его связи с более широкими тенденциями распространения вредоносного ПО. По-видимому, MassJacker функционирует аналогично другим платформам malware-as-a-service (MaaS). Множество транзакций по разным адресам указывает на возможность использования кошелька в различных злонамеренных кампаниях, что усложняет установление личности хакеров.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: