Il recente malware MassJacker ha iniziato a prendere di mira gli utenti che cercano software pirata. Questo malware, secondo i ricercatori di CyberArk, utilizza un tipo di attacco noto come "clipper malware", progettato per monitorare il contenuto degli appunti delle vittime e sostituire gli indirizzi di portafogli di criptovaluta copiati con quelli controllati dagli aggressori, deviando così i fondi verso i malintenzionati.

La catena di infezione inizia su un sito chiamato pesktop[.]com, che si presenta come una piattaforma per ottenere software pirata, ma in realtà distribuisce vari tipi di malware. L'eseguibile iniziale esegue uno script PowerShell che consegna un malware botnet chiamato Amadey, oltre a due altri binari .NET, ciascuno compilato per architetture a 32 e 64 bit.

Il binario denominato PackerE scarica una DLL crittografata che carica un secondo file DLL. Questo file inietta il payload di MassJacker in un processo legittimo di Windows chiamato "InstalUtil.exe". Questa DLL crittografata incorpora funzionalità avanzate di evasione e anti-analisi, come il hooking Just-In-Time (JIT) e una macchina virtuale personalizzata per interpretare i comandi invece di eseguire codice .NET regolare.

MassJacker include controlli anti-debugging e una configurazione per rilevare modelli di espressioni regolari associati agli indirizzi dei portafogli di criptovaluta negli appunti. Connettendosi a un server remoto, scarica file con una lista di portafogli sotto il controllo dell'attore della minaccia. Quando una vittima copia qualsiasi cosa, MassJacker attiva un gestore eventi che verifica i modelli e, se trova una corrispondenza, sostituisce il contenuto copiato con un indirizzo di portafoglio dell'attore della minaccia.

CyberArk ha identificato oltre 778.531 indirizzi unici appartenenti agli aggressori, con solo 423 di questi contenenti fondi per un totale di circa 95.300 dollari. Tuttavia, il valore totale degli asset digitali in tutti questi portafogli, prima che venissero trasferiti, si attesta intorno ai 336.700 dollari. In un singolo portafoglio sono stati trovati fondi in criptovalute per circa 87.000 dollari (600 SOL), con oltre 350 transazioni che convogliano denaro nel portafoglio da indirizzi diversi.

Chi sia dietro MassJacker non è ancora noto, anche se un'analisi più approfondita del codice sorgente ha rivelato sovrapposizioni con un altro malware noto come MassLogger, che ha utilizzato il hooking JIT nel tentativo di resistere alle analisi.