Đăng nhập với Zalo
Đăng nhập với Google
Phần mềm độc hại MassJacker sử dụng 778.000 ví để đánh cắp tiền điện tử
Một hoạt động đánh cắp bộ nhớ đệm tạm thời (clipboard) mới được phát hiện có tên là 'MassJacker' sử dụng ít nhất 778.531 địa chỉ ví tiền điện tử để đánh cắp tài sản kỹ thuật số từ các máy tính bị xâm nhập.
Theo CyberArk, đơn vị phát hiện ra chiến dịch MassJacker cho biết, có khoảng 423 ví được liên kết với hoạt động đánh cắp tài sản kỹ thuật số chứa 95.300 đô la tại thời điểm phân tích, nhưng dữ liệu lịch sử cho thấy các giao dịch quan trọng hơn.
Ngoài ra, có một ví Solana duy nhất mà các tác nhân đe dọa dường như sử dụng làm thiết bị nhận tiền và đã tích lũy được hơn 300.000 đô la trong các giao dịch cho đến nay.
CyberArk nghi ngờ rằng, toàn bộ hoạt động MassJacker có liên quan đến một nhóm đe dọa cụ thể, vì tên tệp được tải xuống từ máy chủ chỉ huy, kiểm soát và khóa mã hóa được sử dụng để giải mã các tệp là giống nhau trong toàn bộ chiến dịch.
Tuy nhiên, hoạt động này vẫn có thể tuân theo mô hình phần mềm độc hại dưới dạng dịch vụ, trong đó một quản trị viên trung tâm bán quyền truy cập cho nhiều tội phạm mạng khác nhau.
CyberArk gọi MassJacker là hoạt động cryptojacking, mặc dù thuật ngữ này thường được liên kết với hoạt động khai thác tiền điện tử trái phép bằng cách tận dụng tài nguyên xử lý/phần cứng của nạn nhân.
Trên thực tế, MassJacker dựa vào phần mềm độc hại chiếm đoạt clipboard, đây là loại phần mềm độc hại theo dõi clipboard của Windows để tìm địa chỉ ví tiền điện tử đã sao chép và thay thế chúng bằng địa chỉ do kẻ tấn công kiểm soát. Khi làm như vậy, nạn nhân vô tình gửi tiền cho kẻ tấn công, mặc dù họ muốn gửi cho người khác.
Cách làm của MassJacker đơn giản nhưng rất hiệu quả, đặc biệt khó phát hiện do chức năng và phạm vi hoạt động hạn chế.
MassJacker được phân phối qua pesktop[.]com, một trang web lưu trữ phần mềm và phần mềm độc hại vi phạm bản quyền.
Trình cài đặt phần mềm được tải xuống từ trang web này thực thi một tập lệnh cmd kích hoạt tập lệnh PowerShell, tập lệnh này sẽ tải bot Amadey và hai tệp trình tải (PackerE và PackerD1).
Amadey khởi chạy PackerE, sau đó giải mã và tải PackerD1 vào bộ nhớ. PackerD1 có năm tài nguyên nhúng giúp tăng cường hiệu suất né tránh và chống phân tích.
MassJacker tìm địa chỉ ví tiền điện tử bằng các mẫu biểu thức chính quy và nếu tìm thấy kết quả trùng khớp, nó sẽ thay thế bằng địa chỉ ví do kẻ tấn công kiểm soát từ danh sách được mã hóa.
CyberArk kêu gọi cộng đồng nghiên cứu an ninh mạng xem xét kỹ hơn các hoạt động khai thác tiền điện tử lớn như MassJacker, vì mặc dù thiệt hại tài chính được cho là thấp, nhưng chúng có thể tiết lộ thông tin nhận dạng có giá trị về nhiều tác nhân đe dọa.
