‫ هشدار مایکروسافت نسبت به کمپین فیشینگ ClickFix از طریق ایمیل‌های جعلی Booking[.]com

Ari Novick، محقق امنیتی در تحلیلی که اوایل این هفته منتشر شد گفت: "زنجیره حملات در سایتی به نام pesktop[.]com شروع می‌شود این سایت خود را به عنوان سایتی برای دریافت نرم‌افزارهای غیرقانونی معرفی می‌کند همچنین سعی می‌کند مردم را وادار به دانلود انواع بدافزارها کند.

فایل اجرایی اولیه به عنوان مجرای برای اجرای یک اسکریپت PowerShell عمل می‌کند که یک بدافزار بات نت به نام Amadey و همچنین دو باینری دات نت دیگر را ارائه می‌دهد که هر کدام برای معماری 32 و 64 بیتی کامپایل شده‌اند.

باینری، با نام رمز PackerE، مسئول دانلود یک DLL رمزگذاری شده است، که به نوبه خود، یک فایل DLL دوم را بارگیری می‌کند که بارگیری MassJacker را با تزریق آن به یک فرآیند قانونی ویندوز به نام "InstalUtil.exe" راه‌اندازی می‌کند.

بدافزار MassJacker Clipper

DLL رمزگذاری شده دارای ویژگی‌هایی است که توانایی فرار و ضد تجزیه و تحلیل آن را افزایش م‌دهد، از جمله اتصال Just-In-Time (JIT)، نگاشت توکن ابرداده برای پنهان کردن فراخوانی‌های عملکرد‌ و یک ماشین مجازی سفارشی برای تفسیر دستورات بر خلاف اجرای کد دات نت معمولی.

MassJacker، به نوبه خود، با بررسی‌های ضد اشکال‌زدایی خود و پیکربندی برای بازیابی همه الگوهای بیان منظم برای پرچم گذاری آدرس‌های کیف پول ارزهای دیجیتال در کلیپ بورد ارائه می‌شود. همچنین با یک سرور راه دور تماس می‌گیرد تا فایل‌های حاوی لیست کیف پول‌های تحت کنترل عامل تهدید را دانلود کند.

Novick گفت: "MassJacker یک کنترل کننده رویداد ایجاد می‌کند تا هر زمان که قربانی چیزی را کپی می‌کند اجرا شود" "کنترل کننده ریجکس‌ها را بررسی می‌کند و اگر مطابقت پیدا کند، محتوای کپی شده را با کیف پولی متعلق به عامل تهدید از لیست دانلود شده جایگزین می‌کند."

امنیت سایبری

CyberArk گفت که بیش از 778531 آدرس منحصر به فرد متعلق به مهاجمان را شناسایی کرده است که تنها 423 مورد از آنها حاوی وجوهی بالغ بر 95300 دلار است اما مجموع دارایی‌های دیجیتالی که در همه این کیف پول‌ها قبل از انتقال آنها نگهداری می‌شود، حدود 336700 دلار است.

علاوه بر این، ارز دیجیتالی به ارزش حدود 87000 دلار (600 SOL) در یک کیف پول جمع شده است و بیش از 350 تراکنش از آدرس‌های مختلف به کیف پول منتقل می‌شود.

دقیقاً چه کسی پشت MassJacker قرار دارد ناشناخته است اگرچه بررسی عمیق‌تر کد منبع همپوشانی‌هایی با بدافزار دیگری به نام MassLogger را شناسایی کرده است که همچنین از قلاب JIT برای مقاومت در برابر تلاش‌های تحلیلی استفاده کرده است.