كشفت شركة CyberArk عن حملة برمجيات ضارة جديدة تستهدف مستخدمي البرامج المقرصنة، حيث تقوم بنشر برنامج ضار غير موثق سابقًا يُعرف باسم MassJacker. هذا البرنامج الضار، الذي يُصنف على أنه Clipper Malware، مصمم لمراقبة محتوى الحافظة (Clipboard) لدى الضحايا وسرقة العملات الرقمية عن طريق استبدال عناوين محافظ العملات الرقمية التي يتم نسخها بعناوين يتحكم فيها المهاجمون، مما يؤدي إلى تحويل الأموال إلى حساباتهم بدلًا من المستلمين المقصودين.
كيف يعمل البرنامج الضار؟
وفقًا للباحث الأمني آري نوفيك، تبدأ سلسلة العدوى من موقع يُدعى pesktop[.]com، والذي يقدم نفسه كموقع لتنزيل البرامج المقرصنة، ولكنه في الواقع يحاول خداع المستخدمين لتنزيل أنواع مختلفة من البرامج الضارة.
آلية العدوى:
- المرحلة الأولى: يتم تنزيل ملف تنفيذي يعمل كوسيط لتشغيل نص PowerShell، والذي يقوم بدوره بتسليم برنامج ضار يُعرف باسم Amadey، بالإضافة إلى ملفين ثنائيين آخرين بتنسيق .NET، واحد لكل من أنظمة 32 بت و64 بت.
- المرحلة الثانية: يُطلق الملف الثنائي، الذي يحمل الاسم الرمزي PackerE، ملف DLL مشفر يقوم بتحميل ملف DLL آخر، والذي يحمل الحمولة الضارة MassJacker ويحقنها في عملية نظام شرعية تُسمى InstalUtil.exe.
ميزات التخفي:
يتميز ملف DLL المشفر بقدرات تعزز من قدرته على التخفي ومقاومة التحليل، بما في ذلك:
- ربط Just-In-Time (JIT): لتعديل سلوك البرامج أثناء التشغيل.
- إخفاء استدعاءات الوظائف: باستخدام تعيينات الرموز الوصفية (Metadata Token Mapping).
- آلة افتراضية مخصصة: لتفسير الأوامر بدلًا من تشغيل كود .NET العادي.
كيف يعمل MassJacker؟
يأتي MassJacker مع ميزات مضادة لعمليات التصحيح (Anti-Debugging) وإعدادات لاسترداد أنماط التعبيرات العادية (Regex) التي تُستخدم لتحديد عناوين محافظ العملات الرقمية في الحافظة. كما يتصل البرنامج الضار بخادم بعيد لتنزيل ملفات تحتوي على قائمة بعناوين المحافظ التي يتحكم فيها المهاجمون.
وأوضح نوفيك أن “MassJacker ينشئ معالجًا للأحداث يتم تشغيله كلما قام الضحية بنسخ أي شيء. يقوم هذا المعالج بالتحقق من التعبيرات العادية، وإذا وجد تطابقًا، فإنه يستبدل المحتوى الذي تم نسخه بعنوان محفظة يخص المهاجم من القائمة التي تم تنزيلها”.
الأرقام والإحصائيات:
حددت CyberArk أكثر من 778,531 عنوان محفظة فريدًا يخص المهاجمين، مع وجود أموال في 423 عنوانًا فقط بقيمة إجمالية تبلغ حوالي 95,300 دولار. ومع ذلك، فإن إجمالي الأموال التي كانت موجودة في هذه المحافظ قبل تحويلها يقدر بحوالي 336,700 دولار.
بالإضافة إلى ذلك، تم اكتشاف عملات رقمية بقيمة 87,000 دولار (ما يعادل 600 SOL) في محفظة واحدة، مع أكثر من 350 معاملة تم تحويلها إلى هذه المحفظة من عناوين مختلفة.
من يقف وراء MassJacker؟
لم يتم الكشف عن الجهة التي تقف وراء MassJacker حتى الآن، ولكن التحليل الأعمق للكود المصدري أظهر وجود تشابهات مع برنامج ضار آخر يُعرف باسم MassLogger، والذي استخدم أيضًا تقنية JIT Hooking لمقاومة جهود التحليل.
