Új MassJacker kártevő veszélyezteti a kalóz szoftverek felhasználóit, kriptovaluta tranzakciókat manipulálva

Egy új, MassJacker névre keresztelt kártevő jelent meg a digitális térben, amely kifejezetten a kalóz szoftvereket kereső felhasználókat célozza meg. A CyberArk biztonsági cég által felfedezett kártevő a felhasználók vágólapjának tartalmát figyeli, és ha kriptovaluta címet talál, azt egy támadó által kontrollált címre cseréli le, így a gyanútlan áldozatok ahelyett, hogy a pénzt a kívánt címre küldenék, valójában a támadók tárcájába utalják azt. Ez a módszer különösen veszélyes azokra a felhasználókra, akik gyakran másolnak és illesztenek be kriptovaluta címeket. A kalóz szoftverek iránt érdeklődők azért válnak kiemelt célponttá, mert gyakran kevésbé körültekintőek a letöltéseikkel kapcsolatban, és előfordulhat, hogy figyelmen kívül hagyják a biztonsági figyelmeztetéseket. A „MassJacker” elnevezés is arra utal, hogy egy nagyszabású, potenciálisan automatizált támadássorozatról van szó, amely kiterjedt hálózaton keresztül igyekszik minél több áldozatot elérni.

A MassJacker terjesztésének elsődleges forrása a pesktop[.]com nevű weboldal. Ez az oldal kalóz szoftverek letöltésére csábítja a felhasználókat, azonban a kínált programok valójában kártevőket tartalmaznak. A weboldal megtévesztő módon próbálja rávenni a látogatókat különböző rosszindulatú programok letöltésére. A fertőzési folyamat egy kezdeti végrehajtható fájl letöltésével kezdődik, amely egy cmd szkriptet és egy PowerShell szkriptet futtat. Ez a több lépcsős terjesztési módszer arra enged következtetni, hogy a támadók egy jól felépített és valószínűleg hosszútávra tervezett akciót folytatnak. A szkriptek feladata további kártékony összetevők letöltése, ami egy gyakori taktika a kártevők terjesztésében, mivel a szkriptek kevésbé feltűnőek lehetnek a kezdeti víruskeresések során.

A MassJacker működése több fázisból áll. A kezdeti cmd és PowerShell szkriptek letöltik és futtatják az Amadey botnetet, valamint két .NET binárist, amelyek 32-bites és 64-bites architektúrára vannak optimalizálva. Az egyik bináris, a PackerE nevű, egy titkosított DLL-t (PackerD1) tölt le. A PackerD1 számos anti-analízis technikát alkalmaz, majd betölt egy második DLL-t, a PackerD2-t, amely a MassJacker tényleges payload-ját tartalmazza. A MassJacker payload végül egy legitim Windows folyamatba, az „InstalUtil.exe”-be injektálódik. A kártevő ezután folyamatosan figyeli a vágólap tartalmát, és ha kriptovaluta címre utaló mintázatot talál (a konfigurációs fájlban meghatározott reguláris kifejezések alapján), akkor azt lecseréli egy támadó által kontrollált címre. A konfigurációs fájl emellett Command and Control (C2) szerver címeket is tartalmaz, ahonnan a kártevő letölti az AES-titkosított tárca listákat (recovery.dat és recoverysol.dat), utóbbi kifejezetten a Solana tárcák címeit tartalmazza. A fertőzési lánc komplexitása és a többféle betöltő, valamint az anti-analízis technikák alkalmazása arra utalnak, hogy a támadók magasan képzett szakemberek lehetnek. A Solana tárcák külön fájlban való tárolása pedig arra enged következtetni, hogy a támadók különös figyelmet fordítanak erre a kriptovalutára, esetleg úgy vélik, hogy a kalóz szoftverek felhasználói körében népszerűbb lehet. A C2 szerver használata lehetővé teszi a támadók számára, hogy dinamikusan frissítsék a tárca címeinek listáját, ami megnehezíti azok blokkolását.

A CyberArk kutatása során több mint 778 ezer egyedi kriptovaluta címet azonosítottak, amelyek a támadókhoz köthetők. Ezek közül mindössze 423 tárcában találtak ténylegesen pénzt, összesen körülbelül 95 300 dollár értékben. Azonban a tárcákból korábban elutalt digitális vagyon teljes összege megközelíti a 336 700 dollárt. Figyelemre méltó, hogy egyetlen Solana tárcában körülbelül 87 000 dollár (600 SOL) értékű kriptovalutát találtak, és több mint 350 tranzakció irányult erre a tárcára különböző címekről. A kriptotárcák „Houdini-szerű” eltűnése arra utal, hogy a támadók aktívan mozgatják az ellopott pénzeszközöket, valószínűleg azért, hogy elkerüljék a nyomon követést és a lefoglalást. A nagyszámú támadói tárca és a viszonylag kisebb összeg, amelyet jelenleg tárolnak, arra utal, hogy a bűnözők gyorsan eltávolítják a megszerzett kriptovalutát. Az egyetlen Solana tárcában talált jelentős összeg pedig azt mutatja, hogy egyes áldozatok jelentős veszteségeket szenvedhetnek el.

A CyberArk kutatói a MassJacker kódjában átfedéseket találtak egy korábbi kártevővel, a MassLoggerrel. A MassLoggerrel kapcsolatban korábban a CERT-AGID és a Mandiant is publikált elemzéseket, és a PackerD1 betöltőben használt JIT hooking és metaadat token mapping technikák feltűnően hasonlítanak a korábban a MassLoggerben alkalmazott módszerekre. Bár a MassJacker kizárólag a kriptovaluta eltulajdonítására összpontosít, míg a MassLogger sokkal szélesebb körű képességekkel rendelkezett, a hasonlóságok arra engednek következtetni, hogy a két kártevő mögött ugyanaz a fenyegető csoport állhat. Ez a kapcsolat arra utal, hogy a támadók korábbi kampányokból származó kódokat és technikákat hasznosítanak újra, ami egy kiforrottabb és tapasztaltabb kibercsoportra utalhat.

Bár a kutatási anyagok nem részletezik a kifejezetten a MassJacker elleni védekezési módszereket, általános tanácsok a kártevők elleni védekezésre megfogalmazhatók. Elsősorban kerüljük a kalóz szoftverek letöltését, mivel a pesktop[.]com és más hasonló oldalak komoly veszélyforrást jelentenek. Különösen kriptovaluta tranzakciók során legyünk rendkívül óvatosak a vágólap használatával, és minden esetben ellenőrizzük a beillesztett címeket. Használjunk megbízható vírusirtó szoftvert, tartsuk azt naprakészen, és futtassunk rendszeres ellenőrzéseket. Emellett fontos az operációs rendszerünk és az alkalmazásaink frissen tartása, mivel a biztonsági frissítések védelmet nyújtanak az ismert sérülékenységek ellen. Gondoljuk át kétszer is, mielőtt ismeretlen linkekre kattintunk vagy fájlokat töltünk le, különösen ha azok gyanús forrásból származnak. Korlátozzuk a fájlmegosztást, és kerüljük a megbízhatatlan P2P fájlmegosztó oldalakat. Lehetőség szerint használjunk nem rendszergazdai fiókot a mindennapi tevékenységeinkhez, ami megakadályozhatja, hogy a kártevők rendszer szintű változtatásokat hajtsanak végre. Végül, készítsünk rendszeres biztonsági másolatokat a fontos adatainkról, hogy egy esetleges fertőzés után helyreállíthassuk azokat.

Összefoglalva, az új MassJacker kártevő komoly fenyegetést jelent a kriptovaluta felhasználókra, különösen azokra, akik kalóz szoftvereket keresnek. A kártevő technikai kifinomultsága, a fertőzési lánc összetettsége és a nagy számú érintett kriptotárca aláhúzza a fenyegetés súlyosságát. A felhasználóknak fokozott óvatosságra és a biztonsági alapelvek szigorú betartására van szükségük a védekezés érdekében. Mindig töltsünk le szoftvereket hivatalos forrásokból, és legyünk éberek a kriptovaluta tranzakcióink során.

Table 1: MassJacker Fertőzési Lánc

Table 2: A MassJacker által érintett kriptovaluta tárcák statisztikái