Malwares de cryptojacking — que interceptam transações de criptomoedas por meio de trocas maliciosas na área de transferência — são menos divulgados que ransomwares ou infostealers. Por que isso acontece se as criptomoedas estão em alta? Neste post, vamos explorar um malware pouco conhecido, o MassJacker, e revelar descobertas surpreendentes: mais de 750 mil endereços únicos, com um só valendo mais de US$ 300 mil!
O que é o MassJacker?
O MassJacker funciona substituindo endereços de carteira de criptomoedas que a vítima copia, trocando-os por endereços do invasor. Esse desvio ocorre sem alertar o usuário, enviando dinheiro para o destinatário errado.
Cadeia de Infecção
O malware começa com a vítima baixando um script indo a um site malicioso (pesktop[.]com), que executa comandos CMDe PowerShell baixando três executáveis:
Um identificado como Amadey botnet.
Dois executáveis .NET (32 e 64 bits), sendo o foco o de 32 bits, chamado de PackerE.
PackerE carrega uma DLL criptografada (PackerD1), que carrega outra (PackerD2).
PackerD2 injeta o payload MassJacker no processo InstalUtil.exe, ativando sua ação no sistema.
Técnicas Antianálise
PackerD1 emprega várias técnicas sofisticadas:
JIT Hooking: altera o compilador JIT para embaralhar o código em execução.
Mapeamento de metadados via tokens, para ofuscar funções e campos.
Implementa uma máquina virtual (VM) customizada e um leitor de strings para complicar análises.
PackerD2 embute comportamentos como hook em métodos de .NET e descompressão do payload.
O Payload MassJacker
Chegando ao payload real, os métodos antianálise continuam:
Limpa nomes da DLL na memória e cria threads de validação de depuração.
Faz download de listas criptografadas de carteiras (recovery.dat e recoverysol.dat) contendo endereços dos invasores.
Monitora o clipboard da vítima e substitui endereços de criptomoedas por aqueles controlados pelos criminosos com base nas expressões regulares configuradas.
O Tesouro Revelado
Ao analisar os dados, foram identificados 778.531 carteiras únicas. Dessas, 423 continham valores, somando cerca de US$ 95.300, com histórico total que aponta para US$ 336.700.
Além disso, um único endereço em Solana acumulou mais de US$ 300 mil, além de NFTs ligados a tokens como Gorilla Reborn e Susanoo. O volume de transações sugere que o MassJacker pode operar como Malware-as-a-Service, compartilhado entre diferentes grupos. Acredita-se que várias carteiras podem consolidar fundos em uma principal.
O cryptojacking pode gerar lucros importantes sem chamar tanta atenção.
Malware como o MassJacker, massivo e silencioso, é difícil de identificar em análises estáticas.
Estima-se que haja poucos desses malwares porque a lucratividade pode ser limitada.
Contudo, a análise de cryptojackers pode revelar grandes tesouros escondidos — literalmente ouro digital — e até pistas que apontem para os criminosos por trás.
🔍 Recomendação: aumente o monitoramento de clipboard e adote ferramentas de segurança que detectem alterações em scripts e acesso ao clipboard — principalmente em máquinas que lidam com criptomoedas.
