Il nuovo malware MassJacker prende di mira gli utenti della pirateria, dirottando le transazioni di criptovaluta.
“Il nuovo tipo di cryptojacking sta attirando l’attenzione degli esperti per l’uso di tecniche sofisticate come l’hooking JIT e l’uso di un’implementazione personalizzata di macchina virtuale per eludere l’analisi” commenta Pierluigi Paganini, analista di cyber security e Ceo Cybhorus.
Ecco come agisce e come proteggersi.
Indice degli argomenti
Il malware MassJacker dirotta le transazioni di criptovaluta
Gli utenti che cercano software pirata sono l’obiettivo di una nuova campagna di malware che fornisce un malware clipper precedentemente non documentato chiamato MassJacker, secondo quanto rilevato da CyberArk.
“Come altri malware che implementano funzionalità ‘clipper’, MassJacker monitora il contenuto della clipboard e sostituisce gli indirizzi di portafogli criptati con quelli controllati dall’attaccante”, spiega Paganini.
Il malware clipper è infatti un tipo di cryware (termine coniato da Microsoft) progettato per monitorare il contenuto degli appunti della vittima e facilitare il furto di criptovaluta sostituendo gli indirizzi dei portafogli di criptovaluta copiati con uno controllato dall’aggressore, in modo da reindirizzarli all’avversario invece che all’obiettivo previsto.
Il vettore d’attacco
“La catena di infezione inizia da un sito chiamato pesktop[.]com”, ha dichiarato il ricercatore di sicurezza Ari Novick in un’analisi pubblicata all’inizio di questa settimana: “Questo sito, che si presenta come un sito per ottenere software pirata, cerca anche di far scaricare ogni sorta di malware”.
L’eseguibile iniziale funge da tramite per l’esecuzione di uno script PowerShell che fornisce un malware per botnet denominato Amadey, oltre ad altri due binari .NET, ciascuno compilato per architettura a 32 e 64 bit.
Il binario, nome in codice PackerE, è responsabile del download di una DLL crittografata che, a sua volta, carica un secondo file DLL che lancia il payload MassJacker iniettandolo in un processo Windows legittimo chiamato “InstalUtil.exe”.
“La catena di infezione non è particolarmente complessa e si avvale di un sito che promuove software piratato”, conferma Paganini.
I dettagli
La DLL crittografata incorpora caratteristiche che migliorano la sua capacità di evasione e anti-analisi, tra cui l’aggancio Just-In-Time (JIT), la mappatura dei token dei metadati per nascondere le chiamate di funzione e una macchina virtuale personalizzata per interpretare i comandi invece di eseguire il normale codice .NET.
“La scoperta di oltre 750.000 indirizzi di portafogli e oltre 300.000 USD in criptovalute deve farci riflettere sulla pericolosità di queste operazioni”, mette in guardia Paganini.
MassJacker, da parte sua, è dotato di controlli anti-debug e di una configurazione per recuperare tutti i modelli di espressione regolare per contrassegnare gli indirizzi dei portafogli di criptovaluta negli appunti.
Inoltre, contatta un server remoto per scaricare i file contenenti l’elenco dei portafogli sotto il controllo dell’attore della minaccia.
“MassJacker crea un gestore di eventi da eseguire ogni volta che la vittima copia qualcosa”, ha dichiarato Novick. “L’handler controlla le regex e, se trova una corrispondenza, sostituisce il contenuto copiato con un portafoglio appartenente all’attore della minaccia dall’elenco scaricato”.
Criptovalute per un valore di circa 87.000 dollari risultano parcheggiate in un singolo portafoglio, con oltre 350 transazioni che incanalano il denaro nel portafoglio da indirizzi diversi.
Non si sa esattamente chi ci sia dietro MassJacker, anche se un esame più approfondito del codice sorgente ha identificato sovrapposizioni con un altro malware noto come MassLogger, noto per aver sfruttato l’aggancio JIT per resistere agli sforzi di analisi.
Come proteggersi
“Questi attacchi sono spesso difficili da rilevare e possono generare profitti significativi, soprattutto se associato ad altre attività malevoli”, conclude Paganini.
La prima regola per proteggersi è non cercare software illegale e pirata, per non commettere reati e perché la pirateria è molto spesso veicolo di malware e cyber minacce.
La principale arma di difesa è la consapevolezza, da rafforzare promuovendo la cultura della sicurezza.
Infine, quando ci si accorge di essere caduti vittima di un attacco, occorre avvertire sempre e subito i colleghi che seguono le tematiche di Information Security, perché la la tempestività di reazione rappresenta un elemento fondamentale nella risposta agli incidenti cyber.