Исследователи компании CyberArk сообщили об обнаружении крупной операции по похищению криптовалюты из кошельков пользователей. Она получила название MassJacker и впечатляет прежде всего своими масштабами: для перевода похищенных средств задействованы не менее 778 531 адреса криптовалютных кошельков злоумышленников.

При этом подтвержденные суммы похищенных средств как раз не слишком велики - особенно на фоне недавнего взлома криптовалютной биржи Bybit, у которой злоумышленники смогли похитить активы на сумму, превышающую миллиард долларов. Так, на 423 кошельках, ассоциированных с операцией MassJacker, находилось в общей сложности 95 300 долларов. Впрочем, исследователи также выявили один кошелек, который, судя по всему, является центральным «хабом» для перевода похищенных средств. Сумма транзакций на него превышает 300 тысяч долларов.

Похищение средств осуществляется с помощью так называемых клипперов (clippers) - вредоносных программ, которые постоянно отслеживают содержимое буфера обмена Windows и при обнаружении в нем адреса криптовалютного кошелька подменяют его адресом одного из кошельков злоумышленников. В этом случае, осуществляя перевод, пользователь отправляет деньги не тому, кому он намеревался их перевести, а похитителям. При всей своей простоте клипперы являются чрезвычайно эффективным инструментом. А их малый размер и ограниченная функциональность существенно затрудняют их обнаружение защитными решениями. Анализ CyberArk показывает, что инфицирование клипперами происходит при загрузке файлов с сайтов, которые специализируются на распространении пиратского программного обеспечения.