Người dùng tìm kiếm phần mềm lậu là mục tiêu của một chiến dịch phần mềm độc hại mới. Chiến dịch này phát tán một loại phần mềm độc hại đánh cắp dữ liệu (clipper malware) chưa từng được ghi nhận trước đây có tên là MassJacker, theo phát hiện từ CyberArk.

Phần mềm độc hại Clipper là một loại “cryware” (thuật ngữ do Microsoft đặt ra) được thiết kế để theo dõi nội dung clipboard của nạn nhân. Mục đích của nó là tạo điều kiện thuận lợi cho việc trộm cắp tiền điện tử bằng cách thay thế các địa chỉ ví tiền điện tử đã sao chép bằng một địa chỉ do kẻ tấn công kiểm soát. Điều này khiến tiền điện tử bị chuyển đến kẻ gian thay vì người nhận dự định.

Nhà nghiên cứu bảo mật Ari Novick cho biết trong một phân tích được công bố đầu tuần này: “Chuỗi lây nhiễm bắt đầu tại một trang web có tên pesktop[.]com”. Ông nói thêm: “Trang web này, tự nhận là nơi cung cấp phần mềm lậu, cũng cố gắng khiến mọi người tải xuống đủ loại phần mềm độc hại”.

Tệp thực thi ban đầu hoạt động như một kênh để chạy một đoạn script PowerShell. Script này sẽ tải xuống một phần mềm độc hại botnet có tên Amadey, cũng như hai tệp nhị phân .NET khác, mỗi tệp được biên dịch cho kiến trúc 32-bit và 64-bit.

Tệp nhị phân, có tên mã là PackerE, chịu trách nhiệm tải xuống một thư viện liên kết động (DLL) đã được mã hóa. Thư viện này sau đó tải một tệp DLL thứ hai, tệp này khởi chạy payload MassJacker bằng cách tiêm nó vào một tiến trình Windows hợp pháp có tên “InstalUtil.exe”.

DLL đã mã hóa tích hợp các tính năng giúp tăng cường khả năng trốn tránh và chống phân tích của nó. Các tính năng này bao gồm Just-In-Time (JIT) hooking, ánh xạ token metadata để che giấu các lệnh gọi hàm và một máy ảo tùy chỉnh để diễn giải các lệnh thay vì chạy mã .NET thông thường.

Về phần MassJacker, nó đi kèm với các biện pháp kiểm tra chống gỡ lỗi riêng và một cấu hình để lấy tất cả các mẫu biểu thức chính quy (regex) dùng để nhận diện địa chỉ ví tiền điện tử trong clipboard. Nó cũng liên hệ với một máy chủ từ xa để tải xuống các tệp chứa danh sách các ví tiền điện tử thuộc quyền kiểm soát của kẻ tấn công.

Novick giải thích: “MassJacker tạo một trình xử lý sự kiện để chạy bất cứ khi nào nạn nhân sao chép bất kỳ nội dung gì”. “Trình xử lý này kiểm tra các regex, và nếu tìm thấy kết quả trùng khớp, nó sẽ thay thế nội dung đã sao chép bằng một ví thuộc về kẻ tấn công từ danh sách đã tải xuống”.

CyberArk cho biết họ đã xác định được hơn 778.531 địa chỉ duy nhất thuộc về những kẻ tấn công, nhưng chỉ có 423 trong số đó chứa tiền với tổng trị giá khoảng 95.300 đô la. Tuy nhiên, tổng số tài sản kỹ thuật số được giữ trong tất cả các ví này trước khi chúng bị chuyển đi là khoảng 336.700 đô la.

Hơn nữa, khoảng 87.000 đô la (600 SOL) tiền điện tử đã được tìm thấy trong một ví duy nhất, với hơn 350 giao dịch đổ tiền vào ví này từ các địa chỉ khác nhau.

Danh tính chính xác của những kẻ đứng sau MassJacker vẫn chưa được xác định. Tuy nhiên, việc kiểm tra sâu hơn mã nguồn đã xác định được sự trùng lặp với một phần mềm độc hại khác có tên là MassLogger, phần mềm này cũng đã sử dụng JIT hooking trong nỗ lực chống lại các hoạt động phân tích

Security365