Новая вредоносная программа MassJacker нацелена на пользователей-пиратов и крадет криптовалюту

Ранее неизвестный тип вредоносной программы для криптоджекинга под названием MassJacker нацелен на пользователей-пиратов и перехватывает транзакции криптовалюты путем замены сохраненных адресов, согласно отчету CyberArk от 10 марта.

Вредоносная программа для криптоджекинга исходит с веб-сайта pesktop[dot]com, где пользователи, пытающиеся загрузить пиратское программное обеспечение, могут неосознанно заразить свои устройства вредоносной программой MassJacker. После установки вредоносной программы заражение заменяет криптоадреса, хранящиеся в приложении буфера обмена, на адреса, контролируемые злоумышленником.

По данным CyberArk, с кражей связано 778 531 уникальный кошелек. Однако только 423 кошелька когда-либо содержали криптоактивы. Общая сумма криптовалюты, которая была либо сохранена, либо переведена из кошельков, составила $336 700 по состоянию на август. Однако компания отметила, что истинный масштаб кражи может быть больше или меньше.

В частности, один кошелек был активным. На момент анализа этот кошелек содержал чуть более 600 Solana (SOL) на сумму около $87 000 и имел историю хранения невзаимозаменяемых токенов. К этим NFT-токенам относятся токены из коллекций Gorilla Reborn и Susanoo.

Просмотр кошелька в блокчейн-эксплорере Solana Solscan показывает 1184 транзакции, датированные 11 марта 2022 года. Помимо переводов, владелец кошелька в ноябре 2024 года занимался децентрализованными финансами, обменивая различные токены, такие как Jupiter (JUP), Uniswap (UNI), USD Coin (USDC) и Raydium (RAY).

Вредоносное ПО нацелено на множество устройств

Криптовалютное вредоносное ПО не ново. Первый общедоступный скрипт криптоджекинга был выпущен Coinhive в 2017 году, и с тех пор злоумышленники атаковали множество устройств, использующих различные операционные системы.

В феврале 2025 года «Лаборатория Касперского» заявила, что обнаружила криптовалютное вредоносное ПО в наборах для создания приложений для Android и iOS. Вредоносное ПО могло сканировать изображения на предмет начальных фраз криптокошельков. В октябре 2024 года компания по кибербезопасности Checkmarx сообщила, что обнаружила ворующее криптовалюту вредоносное ПО в Python Package Index, который является платформой для разработчиков для загрузки и обмена кодом. Другое крипто-вредоносное ПО нацелено на устройства macOS.

Вместо того, чтобы заставлять жертв открывать подозрительный PDF-файл или загружать зараженное вложение, злоумышленники становятся хитрее. Один из новых «методов внедрения» включает мошенничество с поддельной работой, когда злоумышленник вербует свою жертву обещанием работы. Во время виртуального собеседования злоумышленник просит жертву «исправить» проблемы с доступом к микрофону или камере. Это «исправление» устанавливает вредоносное ПО, которое затем может опустошить криптокошелек жертвы.

Атака «клиппер», при которой вредоносное ПО изменяет адреса криптовалюты, скопированные в буфер обмена, менее известна, чем программы-вымогатели или вредоносное ПО для кражи информации. Однако оно дает злоумышленникам преимущества, поскольку действует скрытно и часто остается незамеченным в изолированных средах, согласно CyberArk.