Sommario
Un’analisi condotta da CyberArk Labs ha rivelato un nuovo malware per cryptojacking, denominato MassJacker, che opera rubando criptovalute attraverso tecniche avanzate di sostituzione degli indirizzi nei clipboard degli utenti. Questo tipo di malware, nonostante sia meno noto di ransomware o trojan bancari, rappresenta una minaccia in crescita per chi utilizza portafogli digitali.
Come funziona MassJacker: la catena di infezione
L’infezione inizia con il download di software pirata da siti web come pesktop[.]com, un portale che distribuisce malware nascosto in file apparentemente legittimi. Una volta scaricato, MassJacker avvia un cmd script seguito da uno script PowerShell, che esegue il download di ulteriori eseguibili.
Uno degli eseguibili identificati è Amadey, un botnet utilizzato per la distribuzione di minacce su larga scala. Gli altri due eseguibili sono sviluppati in .NET, con versioni a 32 e 64 bit, progettate per massimizzare la compatibilità con diversi sistemi operativi.
Una volta eseguito, il malware scarica ed esegue un DLL crittografato (PackerD1), che a sua volta contiene cinque risorse con tecniche avanzate di evasione dell’analisi statica e dinamica. PackerD1 carica un secondo DLL (PackerD2), che include il payload effettivo di MassJacker e lo inietta in InstalUtil.exe, un processo legittimo di Windows.
Tecniche di elusione e offuscamento del codice
Per evitare il rilevamento, MassJacker implementa una serie di tecniche di offuscamento e di anti-analisi, tra cui:
- JIT Hooking: una tecnica avanzata che intercetta la compilazione Just-In-Time in .NET per modificare il comportamento del codice in esecuzione.
- Mappatura di token di metadati: manipolazione delle chiamate a funzioni interne tramite assegnazioni dinamiche, rendendo più difficile l’analisi del codice malevolo.
- Macchina virtuale personalizzata: un sistema di esecuzione con istruzioni specifiche che permette di offuscare il flusso di controllo e rendere l’analisi più complessa.
Una volta superate le fasi di offuscamento, PackerD2 carica il payload di MassJacker e avvia il cryptojacking.
Il meccanismo di attacco: furto di criptovalute tramite clipboard hijacking
MassJacker monitora costantemente gli appunti dell’utente per intercettare gli indirizzi di portafogli di criptovalute copiati. Quando l’utente tenta di incollare un indirizzo di destinazione per un trasferimento di fondi, il malware sostituisce automaticamente quell’indirizzo con uno appartenente agli attaccanti.
Le criptovalute target includono Bitcoin (BTC), Ethereum (ETH), Solana (SOL) e Tron (TRX), con regex specifiche per identificare gli indirizzi validi. Il malware utilizza una configurazione remota per aggiornare dinamicamente la lista degli indirizzi da sostituire.
Monetizzazione: il tesoro digitale di MassJacker
L’analisi dei portafogli utilizzati dagli attaccanti ha rivelato un totale di 778.531 indirizzi unici, di cui solo 423 contenevano fondi. Il valore totale accumulato è stato stimato in circa 336.700 dollari, con un singolo wallet Solana che ha raggiunto un saldo massimo di 2075 SOL, equivalente a oltre 300.000 dollari.
Alcuni indirizzi sono stati segnalati su forum e social network come possibili centri di riciclaggio di denaro, suggerendo che parte dei fondi accumulati potrebbe derivare da attività fraudolente diverse dal cryptojacking.
Possibili connessioni con MassLogger
Alcune delle tecniche impiegate in MassJacker, in particolare JIT Hooking e mappatura di token di metadati, ricordano quelle utilizzate in MassLogger, un malware noto per il furto di credenziali. L’analisi del codice suggerisce che MassJacker potrebbe essere stato sviluppato dagli stessi attori dietro MassLogger, oppure potrebbe trattarsi di una sua evoluzione.
MassJacker rappresenta un esempio sofisticato di malware per cryptojacking, dimostrando come gli attaccanti stiano sviluppando tecniche sempre più avanzate per eludere il rilevamento e massimizzare i profitti.
Gli utenti e le aziende che operano nel settore delle criptovalute devono adottare misure di sicurezza avanzate, tra cui il monitoraggio delle operazioni negli appunti, l’uso di strumenti di rilevamento delle minacce e il blocco di indirizzi IP associati a malware noti.
