MassJacker恶意软件剪贴板劫持作案，77.8万加密货币钱包被盗

MassJacker恶意软件通过剪贴板劫持手段，利用至少778,531个加密货币钱包地址，从被攻破的计算机中窃取数字资产。

据 CyberArk 称，MassJacker 活动使用了至少 778,531 个加密货币钱包地址，从被攻破的计算机中窃取数字资产。

在分析时，与该操作相关的约 423 个钱包中包含 95,300 美元，但历史数据表明存在更大规模的交易。

此外，还有一个单独的 Solana 钱包，攻击者似乎将其用作中央收款中心，目前已积累了超过 300,000 美元的交易。

CyberArk 怀疑整个 MassJacker 操作与一个特定的威胁组织有关，因为从命令和控制服务器下载的文件名和用于解密文件的加密密钥在整个活动中相同。

然而，该操作仍可能遵循恶意软件即服务模式，中央管理员向不同网络罪犯出售访问权限。

CyberArk 称 MassJacker 是一种加密劫持操作，尽管该词通常与利用受害者处理/硬件资源进行未授权加密货币挖掘有关。

实际上，MassJacker 依赖于剪贴板劫持恶意软件（clippers），这种恶意软件监控 Windows 剪贴板上复制的加密货币钱包地址，并将其替换为攻击者控制的钱包地址。

通过这种方式，受害者在不知情的情况下将资金发送给攻击者，而非他们原本打算发送的对象。

Clippers 结构简单但效果显著，由于功能和操作范围有限，很难被检测到。

技术细节方面，MassJacker 通过 pesktop[.]com 分发，该网站托管盗版软件和恶意软件。

从该网站下载的软件安装程序会执行 cmd 脚本，触发 PowerShell 脚本，获取 Amadey bot 和两个加载程序文件（PackerE 和 PackerD1）。

Amadey 启动 PackerE，后者解密并加载 PackerD1 到内存中。

PackerD1 具有五种嵌入式资源，增强其规避和反分析性能，包括即时（JIT）挂钩、元数据令牌映射以混淆函数调用，以及用于命令解释的自定义虚拟机，而不是运行常规 .NET 代码。

PackerD1 解密并注入 PackerD2，最终解压缩并提取最终有效载荷 MassJacker，并将其注入到合法的 Windows 进程 ‘InstalUtil.exe’ 中。

MassJacker 使用正则表达式模式监控剪贴板上的加密货币钱包地址，如果找到匹配项，就从加密列表中替换为攻击者控制的钱包地址。

CyberArk 呼吁网络安全研究界更深入地研究像 MassJacker 这样的大型加密劫持操作，尽管其造成的财务损失看似较低，但可能揭示许多威胁行为者的宝贵识别信息。

转载请注明出处@安全威胁纵横，封面由ChatGPT生成；

消息来源：https://www.bleepingcomputer.com/news/security/massjacker-malware-uses-778-000-wallets-to-steal-cryptocurrency/

    更多网络安全视频，请关注视频号“知道创宇404实验室”

原文始发于微信公众号（安全威胁纵横）：MassJacker恶意软件剪贴板劫持作案，77.8万加密货币钱包被盗