Una nueva operación de secuestro del portapapeles llamada MassJacker ha sido descubierta, utilizando al menos 778,531 direcciones de carteras de criptomonedas para robar activos digitales de computadoras comprometidas.
Según CyberArk, que descubrió la campaña MassJacker, alrededor de 423 carteras vinculadas a la operación contenían 95,300 dólares al momento del análisis, pero los datos históricos sugieren que las transacciones fueron mucho más significativas.
Además, hay una sola cartera de Solana que los actores de la amenaza parecen usar como un centro central de recepción de dinero, la cual ha acumulado más de 300,000 dólares en transacciones hasta ahora.
Detalles Técnicos de la Operación
CyberArk sospecha que toda la operación MassJacker está asociada con un grupo específico de amenazas, ya que los nombres de los archivos descargados desde los servidores de control y las claves de encriptación usadas para descifrar los archivos fueron las mismas a lo largo de toda la campaña.
Aunque también se plantea la posibilidad de que la operación esté siguiendo un modelo malware como servicio, donde un administrador central vende acceso a varios ciberdelincuentes.
MassJacker es considerado por CyberArk como una operación de cryptojacking, aunque este término generalmente se asocia con la minería no autorizada de criptomonedas que aprovecha los recursos de procesamiento del hardware de la víctima.
En realidad, MassJacker utiliza malware de secuestradores de portapapeles (clippers), un tipo de malware que monitorea el portapapeles de Windows en busca de direcciones de carteras de criptomonedas copiadas y las reemplaza con una bajo el control del atacante.
De esta forma, las víctimas envían dinero sin saberlo a los atacantes, aunque originalmente intentaban enviarlo a otra persona.
Cadena de Infección de MassJacker
MassJacker se distribuye a través de un sitio web llamado pesktop[.]com, que alberga software pirata y malware. Los instaladores de software descargados desde este sitio ejecutan un script cmd que activa un script de PowerShell que a su vez obtiene un bot Amadey y dos archivos loader (PackerE y PackerD1).
- Amadey lanza PackerE, que a su vez descifra y carga PackerD1 en la memoria.
- PackerD1 tiene cinco recursos incrustados que mejoran su evasión y rendimiento contra el análisis, como el hooking Just-In-Time (JIT) y el mapeo de tokens de metadatos para ofuscar las llamadas a funciones.
- PackerD1 descifra e inyecta PackerD2, que finalmente descomprime y extrae el payload final, MassJacker, y lo inyecta en el proceso legítimo InstalUtil.exe de Windows.
Estrategia de Secuestro del Portapapeles
MassJacker monitorea el portapapeles para detectar direcciones de carteras de criptomonedas utilizando patrones de expresión regular (regex).
Si encuentra una coincidencia, la reemplaza con una dirección de cartera controlada por el atacante desde una lista cifrada.
CyberArk hace un llamado a la comunidad de investigación en ciberseguridad para que preste más atención a grandes operaciones de cryptojacking como MassJacker, ya que a pesar de los daños financieros percibidos como bajos, podrían revelar valiosa información de identificación sobre muchos actores de amenazas.