Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Злоумышленники используют более 778000 криптокошельков для перенаправления активов на свои счета

13/03/25

images - 2025-03-13T141111.720

На момент анализа эксперты выявили 423 кошелька, на которых хранилось $95300, однако история транзакций указывает на более значительные суммы. Одним из ключевых элементов кампании является единый кошелек Solana, который используется как центральный узел для получения средств. Анализ транзакций показал, что на него уже поступило свыше $300 000, пишет Securitylab.

CyberArk предполагает, что за кампанией, получившей название, MassJacker стоит определённая группа киберпреступников. В пользу этой версии говорит тот факт, что файлы, загружаемые с C2-серверов, содержат одинаковые имена, а используемые ключи шифрования остаются неизменными на протяжении всей кампании. Однако существует вероятность, что операция ведётся по MaaS-модели, где доступ к инструментам предоставляется различным злоумышленникам за плату.

MassJacker представляет собой клиппер — вредоносная программа, отслеживающая содержимое буфера обмена. При копировании адреса криптокошелька программа автоматически заменяет его на адрес кошелька киберпреступнику. В результате жертва переводит средства не тому, кому изначально собиралась, а участникам атаки.

MassJacker распространяется через сайт pesktop[.]com с пиратским ПО и вредоносными файлами. После загрузки заражённого установщика выполняется скрипт cmd, запускающий PowerShell-скрипт. Код загружает ботнет Amadey и два загрузчика — PackerE и PackerD1.

Amadey инициирует запуск PackerE, который расшифровывает и загружает PackerD1 в память устройства. Последний содержит 5 встроенных ресурсов, улучшающих механизмы уклонения от анализа и обнаружения, включая JIT-хуки, маппинг токенов метаданных для сокрытия вызовов функций и виртуальную машину для интерпретации команд. В конечном итоге PackerD1 распаковывает и запускает основную полезную нагрузку — MassJacker, внедряя ее в легитимный процесс Windows «InstalUtil.exe».

Интересно, что MassJacker имеет сходство с другим вредоносным ПО — MassLogger. У обоих схожий код упаковщика, схожие методы защиты и даже идентичные функции. Однако MassJacker ограничивается криптоджекингом, тогда как MassLogger имел более широкий функционал. Это наталкивает на мысль, что за обоими вредоносными программами может стоять одна и та же группа хакеров.

MassJacker использует регулярные выражения для мониторинга буфера обмена и заменяет обнаруженные криптовалютные адреса на заранее заготовленные, хранящиеся в зашифрованном виде. 

Темы:криптовалютаУгрозыCyberArk
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Сущность и риски NFT
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    NFT – это цифровые активы с запрограммированной редкостью, они идеально подходят для представления прав собственности на виртуальные активы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...