MassJacker Kötü Amaçlı Yazılımı Korsan Kullanıcıları Hedef Alarak Kripto Para İşlemlerini Yönlendiriyor

14.03.2025

Yeni bir kötü amaçlı yazılım kampanyası, korsan yazılım arayan kullanıcıları hedef alarak MassJacker adlı daha önce bilinmeyen bir clipper kötü amaçlı yazılımını dağıtıyor. CyberArk araştırmacılarına göre, bu kötü amaçlı yazılım, kopyalanan kripto para cüzdan adreslerini saldırganların kontrolündeki adreslerle değiştirerek kripto para işlemlerini ele geçirmek ve fonları siber suçlulara yönlendirmek için tasarlandı.

Bulaşma zinciri, korsan yazılım indirme sitesi gibi görünen ancak aslında kötü amaçlı yazılım dağıtan pesktop.com adlı bir web sitesinde başlıyor. Kullanıcılar, buradan indirdikleri yürütülebilir dosyayı çalıştırdığında, bu dosya bir PowerShell komut dosyasını tetikleyerek Amadey botnet kötü amaçlı yazılımını ve farklı sistem mimarileri için tasarlanmış iki .NET ikili dosyasını indiriyor. Kötü amaçlı yazılım daha sonra MassJacker yükünü, algılanmamak için Windows’un güvenilir süreçlerinden biri olan InstalUtil.exe içine enjekte ediyor.

MassJacker, Just-In-Time (JIT) hooking, metadata token mapping ve özel bir sanal makine gibi gelişmiş gizlenme tekniklerini kullanarak komutları gizlice çalıştırıyor. Sürekli olarak panoyu izleyerek düzenli ifade (regex) desenleri aracılığıyla kripto para cüzdan adreslerini tespit ediyor ve bunları saldırganın uzaktan kontrol ettiği listeden gelen adreslerle değiştiriyor.

CyberArk araştırmacıları, saldırganlara ait 778.531 benzersiz cüzdan adresi tespit etti. Fonlar aktarılmadan önce toplamda 336.700 dolar çalındığı tahmin ediliyor. Tek bir cüzdanda yaklaşık 600 SOL (~87.000 dolar) bulundu ve yüzlerce işlemle farklı adreslerden bu cüzdana para aktarıldığı görüldü.

MassJacker’ın arkasındaki operatörler henüz bilinmese de, kod analizi sonucunda MassLogger adlı başka bir kötü amaçlı yazılımla benzerlikler tespit edildi. MassLogger da analizden kaçınmak için JIT hooking gibi yöntemler kullanıyordu. Bu kampanya, özellikle korsan yazılım kullanan kullanıcıları hedef alan kripto para hırsızlığına yönelik devam eden siber tehditleri gözler önüne seriyor.