新发现的剪贴板劫持操作 “MassJacker”，利用至少 778,531 个加密货币钱包地址，从受感染计算机中窃取数字资产。

据发现 MassJacker 活动的 CyberArk 称，在分析时，与该行动相关的大约 423 个钱包内共有 95,300 美元。不过，历史数据显示，其涉及的交易金额曾更大。此外，威胁行为者似乎将一个 Solana 钱包作为中央收款中心，截至目前，该钱包已累计完成超过 30 万美元的交易。

CyberArk 怀疑整个 MassJacker 行动与特定威胁组织有关联。因为在整个活动过程中，从命令和控制服务器下载的文件名，以及用于解密文件的加密密钥始终保持一致。然而，该操作也有可能遵循恶意软件即服务模式，由中央管理员向各类网络犯罪分子出售访问权限。

CyberArk 将 MassJacker 称为加密劫持操作，虽然 “加密劫持” 这一术语通常更多用于描述利用受害者的处理 / 硬件资源进行未经授权的加密货币挖掘行为。实际上，MassJacker 依赖于剪贴板劫持恶意软件（clippers）。这种恶意软件会监视 Windows 剪贴板中复制的加密货币钱包地址，并将其替换为攻击者控制下的地址。如此一来，受害者在不知情的情况下，就会把原本要汇给他人的钱，错汇给攻击者。剪辑器这种工具虽简单，却极为有效。由于其功能和操作范围有限，特别难以被察觉。

技术细节

MassJacker 通过 pesktop [.] com 进行分发，该网站既托管盗版软件，也存在恶意软件。从该站点下载的软件安装程序会执行一个 cmd 脚本，该脚本进而触发一个 PowerShell 脚本，PowerShell 脚本会获取一个 Amadey 机器人以及两个加载器文件（PackerE 和 PackerD1）。Amadey 启动 PackerE，随后 PackerE 解密并将 PackerD1 加载到内存中。

PackerD1 具备五种嵌入式资源，用以增强其逃避检测和反分析的性能。这些资源包括即时（JIT）挂钩、用于混淆函数调用的元数据令牌映射，以及用于命令解释的自定义虚拟机（并非运行常规的.NET 代码）。PackerD1 解密并注入 PackerD2，最终解压缩并提取出最终有效负载 MassJacker，并将其注入合法的 Windows 进程 “InstalUtil.exe” 中。

MassJacker 利用正则表达式模式，对剪贴板中的加密货币钱包地址进行监视。一旦发现匹配的地址，就会将其替换为加密列表中攻击者控制的钱包地址。

CyberArk 呼吁网络安全研究界密切关注 MassJacker 这类大型加密劫持行动。尽管此类行动造成的经济损失可能相对较低，但却能够泄露许多威胁行为者的宝贵身份信息。

参考及来源：https://www.bleepingcomputer.com/news/security/massjacker-malware-uses-778-000-wallets-to-steal-cryptocurrency/