778000 clones: tu criptobilletera podría convertirse en ajena en una fracción de segundo
Se ha revelado un sistema multinivel de robo de criptoactivos.
Los especialistas de CyberArk descubrieron una campaña masiva de robo de criptomonedas en la que los atacantes utilizan más de 778 000 criptobilleteras para redirigir activos digitales a sus cuentas.
En el momento del análisis, los expertos identificaron 423 billeteras con un saldo de $95 300, aunque el historial de transacciones sugiere montos mucho mayores. Uno de los elementos clave de la campaña es una billetera Solana única, que actúa como nodo central para la recepción de fondos. El análisis de transacciones mostró que ya ha recibido más de $300 000.
CyberArk sospecha que la campaña, denominada MassJacker, es operada por un grupo específico de ciberdelincuentes. Esta hipótesis se basa en el hecho de que los archivos descargados desde los servidores C2 tienen nombres idénticos y las claves de cifrado utilizadas se han mantenido constantes a lo largo de toda la operación. Sin embargo, existe la posibilidad de que se trate de un modelo MaaS, donde las herramientas son ofrecidas a diferentes atacantes a cambio de una tarifa.
MassJacker es un clipper, un tipo de malware diseñado para monitorear el contenido del portapapeles. Cuando una víctima copia la dirección de una criptobilletera, el malware la sustituye automáticamente por la dirección del atacante. Como resultado, los fondos terminan en manos de los ciberdelincuentes en lugar del destinatario previsto.
MassJacker se propaga a través del sitio pesktop[.]com, que distribuye software pirata y archivos maliciosos. Al descargar un instalador infectado, se ejecuta un script cmd que lanza un script de PowerShell. Este código descarga el botnet Amadey y dos cargadores: PackerE y PackerD1.
Amadey inicia la ejecución de PackerE, que descifra y carga PackerD1 en la memoria del dispositivo. Este último contiene cinco recursos incrustados que mejoran sus mecanismos de evasión y detección, incluyendo JIT hooks, mapeo de tokens de metadatos para ocultar llamadas a funciones y una máquina virtual para la interpretación de comandos. Finalmente, PackerD1 descomprime y ejecuta la carga útil principal: MassJacker, inyectándola en el proceso legítimo de Windows "InstalUtil.exe".
Curiosamente, MassJacker presenta similitudes con otro malware, MassLogger. Ambos comparten código de empaquetado, métodos de protección y funciones idénticas. Sin embargo, mientras que MassJacker se limita al robo de criptomonedas, MassLogger tenía un conjunto de funcionalidades más amplio. Esto sugiere que ambos programas podrían haber sido desarrollados por el mismo grupo de hackers.
MassJacker emplea expresiones regulares para monitorear el portapapeles y reemplaza las direcciones de criptomonedas detectadas con unas predefinidas, almacenadas en formato cifrado. CyberArk ha instado a los especialistas en ciberseguridad a prestar más atención a este tipo de operaciones. A pesar de que las cantidades robadas pueden parecer pequeñas, estos ataques pueden proporcionar información valiosa sobre la actividad de numerosos grupos de ciberdelincuentes.
¿Estás cansado de que Internet sepa todo sobre ti?