Uma nova campanha de malware está mirando usuários que buscam softwares piratas, disseminando um clipper malware inédito chamado MassJacker, segundo a CyberArk. Esse tipo de ameaça monitora a área de transferência da vítima e substitui endereços de carteiras de criptomoedas copiadas por endereços controlados por cibercriminosos, desviando os fundos.

O ataque começa no site pesktop[.]com, que se apresenta como um repositório de softwares piratas, mas distribui malwares. O primeiro arquivo baixado executa um script PowerShell que instala o botnet Amadey e dois binários .NET adaptados para arquiteturas de 32 e 64 bits. Um desses binários, chamado PackerE, baixa uma DLL criptografada, que então carrega outra DLL responsável por injetar o payload do MassJacker no processo legítimo do Windows “InstalUtil.exe”. O MassJacker possui recursos avançados para evitar detecção, incluindo Just-In-Time (JIT) hooking, mapeamento de tokens de metadados e uma máquina virtual personalizada para interpretar comandos. Além disso, ele realiza verificações anti-depuração e baixa de um servidor remoto uma lista de carteiras de criptomoedas sob controle dos hackers.

Toda vez que um usuário copia um endereço de carteira, um manipulador verifica se ele corresponde a um padrão de criptomoeda e o substitui por um dos endereços maliciosos. A CyberArk identificou 778.531 carteiras associadas ao grupo criminoso, sendo que apenas 423 delas tinham fundos ativos, totalizando cerca de US$ 95.300. No entanto, o valor movimentado antes dos saques atingiu aproximadamente US$ 336.700. Além disso, uma única carteira dos criminosos contém 600 SOL (cerca de US$ 87.000), acumulados por meio de mais de 350 transações. Ainda não se sabe quem está por trás do MassJacker, mas o código do malware apresenta semelhanças com o MassLogger, que também usa JIT hooking para dificultar a análise.