![MassJacker 恶意软件利用 778,000 个钱包窃取加密货币]( "MassJacker 恶意软件利用 778,000 个钱包窃取加密货币")
新发现的剪贴板劫持操作“MassJacker”使用至少 778,531 个加密货币钱包地址从受感染的计算机中窃取数字资产。
据发现 MassJacker 活动的 CyberArk 称,在分析时,与该行动相关的大约 423 个钱包包含 95,300 美元,但历史数据显示,交易金额更大。
此外,攻击者似乎使用一个 Solana 钱包作为中央收款中心,迄今为止已累计完成超过 30 万美元的交易。
CyberArk 怀疑整个 MassJacker 行动与特定威胁组织有关,因为在整个活动过程中,从命令和控制服务器下载的文件名和用于解密文件的加密密钥都是相同的。
然而,该操作可能仍遵循恶意软件即服务模式,由中央管理员向各种网络犯罪分子出售访问权限。
![MassJacker 恶意软件利用 778,000 个钱包窃取加密货币]( "MassJacker 恶意软件利用 778,000 个钱包窃取加密货币")
CyberArk 将 MassJacker 称为加密劫持操作,尽管该术语更多地与利用受害者的处理/硬件资源进行未经授权的加密货币挖掘有关。
实际上,MassJacker 依赖于剪贴板劫持恶意软件 (clippers),这是一种监视 Windows 剪贴板中复制的加密货币钱包地址并将其替换为攻击者控制下的地址的恶意软件。
这样一来,受害者就会在不知情的情况下将钱汇给攻击者,尽管他们原本是想把钱汇给别人。
剪辑器是一种简单但非常有效的工具,由于其功能和操作范围有限,特别难以被发现。
MassJacker 通过 pesktop[.]com 进行分发,该网站托管盗版软件和恶意软件。
从该站点下载的软件安装程序执行一个 cmd 脚本,该脚本会触发一个 PowerShell 脚本,该脚本会获取一个 Amadey 机器人和两个加载器文件(PackerE 和 PackerD1)。
Amadey 启动 PackerE,然后 PackerE 解密并将 PackerD1 加载到内存中。
PackerD1 具有五种嵌入式资源,可增强其逃避和反分析性能,包括即时 (JIT) 挂钩、用于混淆函数调用的元数据令牌映射以及用于命令解释的自定义虚拟机(而不是运行常规的 .NET 代码)。
PackerD1 解密并注入 PackerD2,后者最终解压缩并提取最终的有效负载 MassJacker,并将其注入合法的 Windows 进程“InstalUtil.exe”中。
![MassJacker 恶意软件利用 778,000 个钱包窃取加密货币]( "MassJacker 恶意软件利用 778,000 个钱包窃取加密货币")
MassJacker 使用正则表达式模式监视剪贴板中的加密货币钱包地址,如果发现匹配,则将其替换为加密列表中攻击者控制的钱包地址。
CyberArk 呼吁网络安全研究界密切关注 MassJacker 等大型加密劫持行动,因为尽管其造成的经济损失较低,但它们却可以泄露许多威胁行为者的宝贵身份信息。
信息来源 :BleepingComputer
原文始发于微信公众号(犀牛安全):MassJacker 恶意软件利用 778,000 个钱包窃取加密货币
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3852680.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论