Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Logiciel malveillant MassJacker

Logiciel malveillant MassJacker

Par Mezo en Logiciels malveillants, Les voleurs
Se traduisent par :
Français

Des chercheurs en cybersécurité ont révélé une nouvelle campagne de malware ciblant les utilisateurs à la recherche de logiciels piratés. L'attaque diffuse un malware Clipper jusqu'alors non répertorié, appelé MassJacker, conçu pour voler des cryptomonnaies en manipulant les données du presse-papiers.

Fonctionnement de MassJacker : la menace du malware Clipper

Le malware Clipper est une cybermenace menaçante qui surveille l'activité du presse-papiers de la victime. Lorsqu'un utilisateur copie l'adresse d'un portefeuille de cryptomonnaies, le malware la remplace par une adresse contrôlée par l'attaquant, redirigeant les fonds vers les cybercriminels plutôt que vers le destinataire prévu.

Pesktop.com : une porte d'entrée vers l'infection

La chaîne d'infection commence avec Pesktop.com, un site web se faisant passer pour une source de logiciels piratés. Cependant, les utilisateurs qui téléchargent depuis ce site reçoivent sans le savoir divers types de logiciels malveillants en même temps que les logiciels recherchés.

Une fois l'exécutable initial exécuté, un script PowerShell est déclenché. Ce dernier télécharge un botnet malveillant appelé Amadey, ainsi que deux binaires .NET conçus pour les architectures 32 et 64 bits. Ces binaires, dont le nom de code est PackerE, téléchargent une DLL chiffrée, qui lance ensuite la charge utile MassJacker en l'injectant dans un processus Windows légitime appelé InstalUtil.exe.

Mode furtif : comment MassJacker échappe à la détection

Pour éviter d'être détecté, le logiciel malveillant utilise plusieurs techniques d'obfuscation, notamment :

  • JIT Hooking : modifie la compilation juste-à-temps (JIT) pour échapper à l'analyse.
  • Mappage des jetons de métadonnées : masque les appels de fonction pour rendre l'analyse plus difficile.
  • Exécution de machine virtuelle personnalisée : au lieu d’exécuter du code .NET standard, il exécute des commandes via une machine virtuelle pour empêcher la détection.

De plus, MassJacker est doté de ses propres mécanismes anti-débogage, ce qui rend son analyse encore plus difficile pour les chercheurs en sécurité.

Comment MassJacker collecte des cryptomonnaies

Une fois actif, MassJacker surveille en permanence le presse-papiers de sa victime. Il analyse le texte copié à l'aide d'expressions régulières pour détecter les adresses de portefeuilles de cryptomonnaies. S'il trouve une correspondance, le logiciel malveillant remplace l'adresse copiée par une adresse provenant d'une liste prétéléchargée et contrôlée par les attaquants.

MassJacker contacte un serveur distant pour récupérer une liste mise à jour des adresses de portefeuille, garantissant ainsi que les fonds volés continuent d'affluer vers les comptes contrôlés par les cybercriminels.

L'ampleur stupéfiante de l'attaque

Les chercheurs ont identifié plus de 778 531 adresses de portefeuilles uniques associées aux attaquants. Cependant, seuls 423 d'entre eux détiennent actuellement des fonds totalisant environ 95 300 $. Avant le transfert des fonds, les attaquants avaient amassé environ 336 700 $ en actifs numériques volés.

Un seul portefeuille lié à la campagne contient environ 87 000 $ (600 SOL), avec plus de 350 transactions acheminant des fonds vers celui-ci à partir de diverses adresses compromises.

Qui se cache derrière MassJacker ?

L'identité des cybercriminels à l'origine de MassJacker reste inconnue. Cependant, des chercheurs ont découvert des similitudes entre MassJacker et un autre malware appelé MassLogger, qui utilise également le hooking JIT pour résister à l'analyse. Cela suggère un lien possible entre les deux menaces ou un contexte de développement commun.

Restez en sécurité : comment vous protéger

  • Évitez de télécharger des logiciels piratés – De nombreux sites de logiciels illégaux servent de plateformes de diffusion de logiciels malveillants.
  • Utilisez un logiciel de sécurité puissant – Un outil de détection anti-malware fiable peut vous aider à repérer les menaces avant qu’elles ne causent des dommages.
  • Vérifiez les adresses de portefeuille – Vérifiez toujours manuellement les adresses de portefeuille avant de transférer des crypto-monnaies.
  • Maintenez le logiciel à jour – Des mises à jour régulières garantissent que les vulnérabilités sont corrigées, réduisant ainsi le risque d’infections par des logiciels malveillants.

Alors que les cybercriminels continuent de faire évoluer leurs tactiques, rester informé et prudent est la meilleure défense contre des menaces comme MassJacker.

Tendance

Le plus regardé

Chargement...