El malware MassJacker es una amenaza recientemente descubierta que se dirige a usuarios que buscan software pirata, con el objetivo de secuestrar transacciones de criptomonedas.
Este tipo de malware, conocido como “clipper”, monitorea el contenido del portapapeles de la víctima y reemplaza las direcciones de billeteras de criptomonedas copiadas con otras controladas por los atacantes, redirigiendo así los fondos sin que el usuario lo note.
La cadena de infección comienza en el sitio web pesktop[.]com, que se presenta como una fuente de software pirata pero que, en realidad, distribuye diversos tipos de malware. El ejecutable inicial ejecuta un script de PowerShell que instala un malware de botnet llamado Amadey, junto con otros dos binarios .NET, compilados para arquitecturas de 32 y 64 bits.
Uno de estos binarios, denominado PackerE, descarga una DLL cifrada que, a su vez, carga otra DLL que lanza la carga útil de MassJacker al inyectarse en un proceso legítimo de Windows llamado “InstalUtil.exe”. Esta DLL cifrada utiliza técnicas avanzadas de evasión y anti-análisis, incluyendo hooking Just-In-Time (JIT), mapeo de tokens de metadatos para ocultar llamadas a funciones y una máquina virtual personalizada para interpretar comandos en lugar de ejecutar código .NET regular.
MassJacker incorpora sus propias verificaciones anti-depuración y está configurado para identificar patrones de expresiones regulares que detectan direcciones de billeteras de criptomonedas en el portapapeles. Además, se comunica con un servidor remoto para descargar archivos que contienen la lista de billeteras controladas por los atacantes. Cuando la víctima copia una dirección de billetera, MassJacker la reemplaza por una de las direcciones de los atacantes, desviando así los fondos.
Se han identificado más de 778,531 direcciones únicas pertenecientes a los atacantes, de las cuales solo 423 contenían fondos que sumaban aproximadamente $95,300. Sin embargo, el total de activos digitales en estas billeteras antes de ser transferidos asciende a alrededor de $336,700. Además, se ha encontrado una billetera con aproximadamente $87,000 (600 SOL), con más de 350 transacciones que canalizan dinero desde diferentes direcciones.
Aunque se desconoce la identidad de los responsables de MassJacker, un examen más detallado del código fuente ha revelado similitudes con otro malware conocido como MassLogger, que también ha utilizado técnicas de hooking JIT para resistir los esfuerzos de análisis.
fuente:thehackernews
