Ari Novick، محقق امنیتی در تحلیلی که اوایل این هفته منتشر شد گفت: "زنجیره حملات در سایتی به نام pesktop[.]com شروع میشود این سایت خود را به عنوان سایتی برای دریافت نرمافزارهای غیرقانونی معرفی میکند همچنین سعی میکند مردم را وادار به دانلود انواع بدافزارها کند.
فایل اجرایی اولیه به عنوان مجرای برای اجرای یک اسکریپت PowerShell عمل میکند که یک بدافزار بات نت به نام Amadey و همچنین دو باینری دات نت دیگر را ارائه میدهد که هر کدام برای معماری 32 و 64 بیتی کامپایل شدهاند.
باینری، با نام رمز PackerE، مسئول دانلود یک DLL رمزگذاری شده است، که به نوبه خود، یک فایل DLL دوم را بارگیری میکند که بارگیری MassJacker را با تزریق آن به یک فرآیند قانونی ویندوز به نام "InstalUtil.exe" راهاندازی میکند.
بدافزار MassJacker Clipper
DLL رمزگذاری شده دارای ویژگیهایی است که توانایی فرار و ضد تجزیه و تحلیل آن را افزایش مدهد، از جمله اتصال Just-In-Time (JIT)، نگاشت توکن ابرداده برای پنهان کردن فراخوانیهای عملکرد و یک ماشین مجازی سفارشی برای تفسیر دستورات بر خلاف اجرای کد دات نت معمولی.
MassJacker، به نوبه خود، با بررسیهای ضد اشکالزدایی خود و پیکربندی برای بازیابی همه الگوهای بیان منظم برای پرچم گذاری آدرسهای کیف پول ارزهای دیجیتال در کلیپ بورد ارائه میشود. همچنین با یک سرور راه دور تماس میگیرد تا فایلهای حاوی لیست کیف پولهای تحت کنترل عامل تهدید را دانلود کند.
Novick گفت: "MassJacker یک کنترل کننده رویداد ایجاد میکند تا هر زمان که قربانی چیزی را کپی میکند اجرا شود" "کنترل کننده ریجکسها را بررسی میکند و اگر مطابقت پیدا کند، محتوای کپی شده را با کیف پولی متعلق به عامل تهدید از لیست دانلود شده جایگزین میکند."
امنیت سایبری
CyberArk گفت که بیش از 778531 آدرس منحصر به فرد متعلق به مهاجمان را شناسایی کرده است که تنها 423 مورد از آنها حاوی وجوهی بالغ بر 95300 دلار است اما مجموع داراییهای دیجیتالی که در همه این کیف پولها قبل از انتقال آنها نگهداری میشود، حدود 336700 دلار است.
علاوه بر این، ارز دیجیتالی به ارزش حدود 87000 دلار (600 SOL) در یک کیف پول جمع شده است و بیش از 350 تراکنش از آدرسهای مختلف به کیف پول منتقل میشود.
دقیقاً چه کسی پشت MassJacker قرار دارد ناشناخته است اگرچه بررسی عمیقتر کد منبع همپوشانیهایی با بدافزار دیگری به نام MassLogger را شناسایی کرده است که همچنین از قلاب JIT برای مقاومت در برابر تلاشهای تحلیلی استفاده کرده است.