Recientemente se descubrió una peligrosa operación de secuestro de portapapeles llamada MassJacker, que utiliza más de 778,000 direcciones de billeteras digitales para robar activos de computadoras infectadas.
Las pérdidas no son menores: se ha detectado que una de las billeteras vinculadas a esta campaña acumuló más de $300,000 en transacciones, mientras que otras 423 billeteras relacionadas contenían alrededor de $95,300 en el momento del análisis.
Este malware no discrimina; tanto novatos como expertos en criptomonedas han sido víctimas de sus ataques. Si manejas activos digitales o estás pensando en hacerlo, es fundamental que conozcas cómo funciona MassJacker y qué puedes hacer para protegerte.
¿Quién está detrás del malware MassJacker?
Se cree que toda la operación detrás de MassJacker está controlada por un mismo grupo de ciberdelincuentes. ¿La razón? Los archivos descargados desde sus servidores y las claves de cifrado que usan para descifrar esos archivos son siempre los mismos, lo que apunta a una sola fuente detrás del ataque. Aun así, no se descarta que estén usando un modelo de malware como servicio, donde un grupo central crea el virus y luego vende el acceso a distintos criminales para que lo utilicen a su antojo.
Transacciones en la billetera Solana (Fuente: CyberArk)
Aunque el término cryptojacking suele referirse más a malware que mina criptomonedas usando el poder de tu computadora sin que te des cuenta, algunos expertos también lo están usando para describir a MassJacker.
En realidad, MassJacker funciona más como un malware de secuestro del portapapeles (también conocidos como clippers). Este tipo de virus se dedica a vigilar el portapapeles de Windows y, cuando detecta que has copiado una dirección de billetera de criptomonedas, la reemplaza automáticamente por otra controlada por los atacantes.
El resultado es que, sin saberlo, terminas enviando tu dinero a los ciberdelincuentes en lugar de a la persona que realmente querías.
Este tipo de malware es tan simple como efectivo, y lo peor es que suele pasar desapercibido porque su actividad es muy limitada y difícil de detectar.
Podría interesarte leer: Bybit: El Hackeo de Criptomonedas más Grande en la Historia
Detalles técnicos de MassJacker: ¿Cómo funciona este malware?
MassJacker se está distribuyendo a través de un sitio web llamado pesktop[.]com, conocido por alojar software pirateado y, como era de esperar, malware. Cuando alguien descarga un programa infectado de este sitio, se activa un proceso bastante complejo en segundo plano:
- El instalador ejecuta un script CMD, que luego lanza un script de PowerShell.
- Ese script descarga un malware llamado Amadey junto con dos archivos adicionales, llamados PackerE y PackerD1.
- Amadey se encarga de iniciar PackerE, que luego descifra y ejecuta PackerD1 directamente en la memoria del sistema.
Aquí es donde las cosas se vuelven más técnicas. PackerD1 incluye cinco herramientas diseñadas para evitar que el malware sea detectado o analizado fácilmente. Estas técnicas incluyen:
- Enganche Just-In-Time (JIT): Un truco que manipula la forma en que el sistema interpreta el código para ocultar sus intenciones.
- Mapeo de tokens de metadatos: Esto sirve para enmascarar las llamadas a funciones, dificultando que los analistas identifiquen su comportamiento.
- Una máquina virtual personalizada: En lugar de ejecutar código .NET como cualquier programa normal, este malware usa su propia "mini computadora virtual", lo que lo hace aún más difícil de rastrear.
Cadena de infección de MassJacker
Luego, PackerD1 descifra e inyecta un tercer archivo llamado PackerD2, que finalmente descomprime y ejecuta la carga final: el propio MassJacker. Para camuflarse mejor, este malware se inyecta en un proceso legítimo de Windows llamado InstallUtil.exe.
Una vez activo, MassJacker empieza a vigilar el portapapeles de Windows en busca de direcciones de billeteras de criptomonedas. Utiliza patrones avanzados (expresiones regulares) para identificar estos datos y, si encuentra uno, lo reemplaza por una dirección controlada por los atacantes. Esta lista de direcciones está oculta dentro del propio malware, en formato encriptado.
¿Por qué debería preocuparnos esto?
Este tipo de campañas, aunque puedan parecer de bajo impacto financiero en algunos casos, pueden ofrecer información clave sobre los grupos de ciberdelincuentes que están detrás. Por eso, los expertos en ciberseguridad, están instando a la comunidad de seguridad informática a investigar más a fondo estas amenazas emergentes como MassJacker.