Un nuovo malware, denominato MassJacker, sta mettendo a repentaglio le transazioni di criptovalute, dirottando ingenti somme di denaro nei conti dei criminali informatici. Secondo quanto riportato da The Hacker News, questo tipo di malware rientra nelle cosiddette “clipper malware” e si rivolge a chi cerca software piratato online, sfruttando una particolare vulnerabilità dei sistemi informatici degli utenti.

La dinamica della truffa: come funziona MassJacker

Gli utenti che cercano di scaricare software illegale si trovano, invece, a scaricare MassJacker. Una volta attivato, il malware tiene sotto controllo il contenuto degli appunti del computer infetto, sostituendo gli indirizzi dei portafogli di criptovaluta copiati con quelli controllati dai criminali. Un rapporto di CyberArk svela che la catena di infezione ha inizio sul sito pesktop[.]com, noto per la distribuzione di software piratato, ma che si serve anche di diversi altri malware per infettare i computer.

Il file eseguibile di MassJacker funge da tramite per eseguire uno script PowerShell per un’altra forma di malware, il botnet Amadey, e due binari .NET noti anche come PackerE. Quest’ultimo file scarica un DLL crittografato e poi lancia il payload di MassJacker iniettandolo nel processo legittimo di Windows chiamato InstalUtil.exe. Questo DLL crittografato presenta diverse funzionalità pensate per sfuggire all’analisi, come il Just-In-Time hooking e la mappatura dei token di metadati.

MassJacker è dotato di controlli per il debugging e di una configurazione che consente di identificare gli indirizzi dei portafogli di criptovaluta negli appunti. Con un contatto a un server remoto, il malware scarica file contenenti gli indirizzi di portafoglio dei criminali responsabili di questa campagna. Quando l’utente copia un qualsiasi dato, un gestore di eventi entra in gioco, controllando se il contenuto corrisponde a quelli che il malware ha identificato e sostituisce l’indirizzo copiato con uno dei portafogli dei criminali.

I numeri della truffa: fondi sottratti e indirizzi compromessi

CyberArk ha rivelato di aver individuato oltre 778.531 indirizzi appartenenti agli autori di MassJacker. Attualmente, 423 di questi portafogli contengono fondi per un totale di circa 95.300 dollari. Prima di essere trasferiti, i fondi detenuti in questi portafogli ammontavano a circa 336.700 dollari. In particolare, è stato individuato un portafoglio con 87.000 dollari, che ha registrato oltre 350 transazioni provenienti da indirizzi diversi.

Non sono disponibili informazioni precise su chi stia operando dietro MassJacker, ma un’analisi del codice sorgente mostra similitudini con un altro malware, MassLogger, noto per la sua capacità di resistere agli sforzi d’analisi attraverso l’uso del JIT hooking.

Come proteggersi da MassJacker e da altri clipper malware

L’infezione da MassJacker è, in larga parte, evitabile. Coloro che stanno attenti a non scaricare software piratato non dovrebbero riscontrare problemi, almeno per il momento. Tuttavia, tenere i dispositivi protetti è fondamentale, motivo per cui è consigliabile dotarsi dei migliori antivirus per PC Windows o per MAC, che effettuano scansioni regolari dei file già presenti e di quelli nuovi scaricati.

Per garantire la sicurezza delle transazioni in criptovaluta, si consiglia di considerare di acquistare un computer dedicato esclusivamente a questo scopo. Sebbene possa sembrare un’azione estrema, separare le attività online legate alle criptovalute dalle normali operazioni può ridurre il rischio di furti da parte di malware come MassJacker o attacchi di phishing, che cercano di rubare le frasi di recupero. È importante, pertanto, annotare queste informazioni su un supporto fisico e conservarle in un luogo sicuro.

Poiché il recupero di criptovalute smarrite è praticamente impossibile, i criminali continueranno a prendere di mira gli utenti nel mondo delle criptovalute. È quindi essenziale adottare misure di sicurezza rigorose e mantenere un’ottima igiene informatica quando si gestiscono valute digitali.