بدافزار MassJacker: سرقت ۳۳۶ هزار دلاری از کاربران نرم‌افزارهای کرک شده

بدافزار جدید MassJacker کاربران محتوای غیرقانونی را هدف قرار می‌دهد و رمزارزها را سرقت می‌کند

یک نوع ناشناخته از بدافزار استخراج رمزارز به نام MassJacker کاربران محتوای غیرقانونی را هدف قرار داده و تراکنش‌های رمزارزی را با جایگزینی آدرس‌های ذخیره‌شده، ربوده است. طبق گزارش ۱۰ مارس CyberArk، این بدافزار از وب‌سایت pesktop[dot]com سرچشمه می‌گیرد، جایی که کاربرانی که به دنبال دانلود نرم‌افزارهای غیرقانونی هستند، ممکن است ناخواسته دستگاه‌های خود را به MassJacker آلوده کنند.

پس از نصب بدافزار، آلودگی آدرس‌های رمزارزی ذخیره‌شده در برنامه کلیپ‌بورد را با آدرس‌های تحت کنترل مهاجم جایگزین می‌کند. طبق گزارش CyberArk، ۷۷۸,۵۳۱ کیف پول منحصربه‌فرد به این سرقت مرتبط هستند. با این حال، تنها ۴۲۳ کیف پول در هر زمان دارای دارایی‌های رمزارزی بودند. مجموع رمزارزهایی که یا ذخیره شده یا از کیف پول‌ها منتقل شده بودند، تا آگوست ۳۳۶,۷۰۰ دلار بود. با این حال، شرکت اشاره کرد که میزان واقعی سرقت می‌تواند بیشتر یا کمتر باشد.

یک کیف پول به‌طور خاص فعال به نظر می‌رسید. این کیف پول در زمان تحلیل، کمی بیش از ۶۰۰ سولانا (SOL) به ارزش تقریبی ۸۷,۰۰۰ دلار داشت و سابقه نگهداری توکن‌های غیرقابل تعویض (NFT) را داشت. این NFTها شامل Gorilla Reborn و Susanoo بودند. بررسی این کیف پول در کاوشگر بلاکچین سولانا، Solscan، نشان می‌دهد که ۱,۱۸۴ تراکنش از ۱۱ مارس ۲۰۲۲ انجام شده است. علاوه بر انتقال‌ها، صاحب کیف پول در نوامبر ۲۰۲۴ در امور مالی غیرمتمرکز نیز فعالیت داشته و توکن‌های مختلفی مانند Jupiter (JUP)، Uniswap (UNI)، USDC (USDC) و Raydium (RAY) را مبادله کرده است.

بدافزارهای رمزارزی: یک تهدید مداوم

بدافزارهای رمزارزی چیز جدیدی نیستند. اولین اسکریپت استخراج رمزارز عمومی توسط Coinhive در سال ۲۰۱۷ منتشر شد و از آن زمان، مهاجمان دستگاه‌های مختلفی را با سیستم‌عامل‌های متفاوت هدف قرار داده‌اند. در فوریه ۲۰۲۵، Kaspersky Labs اعلام کرد که بدافزارهای رمزارزی را در کیت‌های ساخت اپلیکیشن برای Android و iOS پیدا کرده است. این بدافزار توانایی اسکن تصاویر برای عبارات بازیابی رمزارز را داشت.

در اکتبر ۲۰۲۴، شرکت امنیت سایبری Checkmarx فاش کرد که بدافزار سرقت رمزارز را در یک شاخص بسته پایتون، که یک پلتفرم برای توسعه‌دهندگان برای دانلود و اشتراک‌گذاری کد است، کشف کرده است. سایر بدافزارهای رمزارزی دستگاه‌های macOS را هدف قرار داده‌اند.

روش‌های جدید حمله

به‌جای اینکه قربانیان یک فایل PDF مشکوک را باز کنند یا یک پیوست آلوده را دانلود کنند، مهاجمان در حال فریبکاری بیشتری هستند. یک روش جدید "تزریق" شامل کلاهبرداری شغلی جعلی است، جایی که مهاجم قربانی خود را با وعده یک شغل جذب می‌کند. در طول مصاحبه مجازی، مهاجم از قربانی می‌خواهد که مشکلات دسترسی به میکروفون یا دوربین را "رفع" کند. این "رفع" همان چیزی است که بدافزار را نصب می‌کند و سپس می‌تواند کیف پول رمزارز قربانی را تخلیه کند.

حمله "کلیپر"، که در آن بدافزار آدرس‌های رمزارزی کپی‌شده در کلیپ‌بورد را تغییر می‌دهد، کمتر از باج‌افزار یا بدافزارهای سرقت اطلاعات شناخته شده است. با این حال، این حمله برای مهاجمان مزایایی دارد، زیرا به‌طور مخفیانه عمل می‌کند و اغلب در محیط‌های آزمایشی شناسایی نمی‌شود.