Recientemente se descubrió una peligrosa operación de secuestro de portapapeles llamada MassJacker, que utiliza más de 778,000 direcciones de billeteras digitales para robar activos de computadoras infectadas.
Las pérdidas no son menores: se ha detectado que una de las billeteras vinculadas a esta campaña acumuló más de $300,000 en transacciones, mientras que otras 423 billeteras relacionadas contenían alrededor de $95,300 en el momento del análisis.
Este malware no discrimina; tanto novatos como expertos en criptomonedas han sido víctimas de sus ataques. Si manejas activos digitales o estás pensando en hacerlo, es fundamental que conozcas cómo funciona MassJacker y qué puedes hacer para protegerte.
Se cree que toda la operación detrás de MassJacker está controlada por un mismo grupo de ciberdelincuentes. ¿La razón? Los archivos descargados desde sus servidores y las claves de cifrado que usan para descifrar esos archivos son siempre los mismos, lo que apunta a una sola fuente detrás del ataque. Aun así, no se descarta que estén usando un modelo de malware como servicio, donde un grupo central crea el virus y luego vende el acceso a distintos criminales para que lo utilicen a su antojo.
Transacciones en la billetera Solana (Fuente: CyberArk)
Aunque el término cryptojacking suele referirse más a malware que mina criptomonedas usando el poder de tu computadora sin que te des cuenta, algunos expertos también lo están usando para describir a MassJacker.
En realidad, MassJacker funciona más como un malware de secuestro del portapapeles (también conocidos como clippers). Este tipo de virus se dedica a vigilar el portapapeles de Windows y, cuando detecta que has copiado una dirección de billetera de criptomonedas, la reemplaza automáticamente por otra controlada por los atacantes.
El resultado es que, sin saberlo, terminas enviando tu dinero a los ciberdelincuentes en lugar de a la persona que realmente querías.
Este tipo de malware es tan simple como efectivo, y lo peor es que suele pasar desapercibido porque su actividad es muy limitada y difícil de detectar.
Podría interesarte leer: Bybit: El Hackeo de Criptomonedas más Grande en la Historia
MassJacker se está distribuyendo a través de un sitio web llamado pesktop[.]com, conocido por alojar software pirateado y, como era de esperar, malware. Cuando alguien descarga un programa infectado de este sitio, se activa un proceso bastante complejo en segundo plano:
Aquí es donde las cosas se vuelven más técnicas. PackerD1 incluye cinco herramientas diseñadas para evitar que el malware sea detectado o analizado fácilmente. Estas técnicas incluyen:
Cadena de infección de MassJacker
Luego, PackerD1 descifra e inyecta un tercer archivo llamado PackerD2, que finalmente descomprime y ejecuta la carga final: el propio MassJacker. Para camuflarse mejor, este malware se inyecta en un proceso legítimo de Windows llamado InstallUtil.exe.
Una vez activo, MassJacker empieza a vigilar el portapapeles de Windows en busca de direcciones de billeteras de criptomonedas. Utiliza patrones avanzados (expresiones regulares) para identificar estos datos y, si encuentra uno, lo reemplaza por una dirección controlada por los atacantes. Esta lista de direcciones está oculta dentro del propio malware, en formato encriptado.
Este tipo de campañas, aunque puedan parecer de bajo impacto financiero en algunos casos, pueden ofrecer información clave sobre los grupos de ciberdelincuentes que están detrás. Por eso, los expertos en ciberseguridad, están instando a la comunidad de seguridad informática a investigar más a fondo estas amenazas emergentes como MassJacker.