介绍

一个新发现的恶意软件活动针对的是搜索盗版软件的用户，并传播一种之前未记录的剪贴板恶意软件MassJacker。据 CyberArk 称，这种恶意软件旨在通过操纵剪贴板内容来劫持加密货币交易，用攻击者控制的地址替换复制的钱包地址以重定向资金。

感染媒介来自一个名为pesktop[.]com的欺骗性网站，该网站以破解软件为幌子诱骗用户下载恶意软件。MassJacker 展示了复杂的规避技术，包括即时 (JIT) 挂钩、元数据混淆和基于虚拟机的执行，使其难以检测和分析。

以下是导致成功部署和执行 MassJacker 的攻击链的细分。

攻击链分解

1. 初始感染：从 pesktop[.]com 下载恶意软件

• 受害者访问pesktop[.]com，认为它是盗版软件的合法来源。
• 该网站诱骗用户下载初始可执行文件，这是恶意软件感染的入口点。

2. 初始恶意软件加载器的执行

• 下载的可执行文件启动PowerShell 脚本，开始恶意软件部署过程。
• 该脚本安装Amadey 僵尸网络恶意软件，常用于侦察和进一步的有效载荷传递。
• 它还提供了两个额外的.NET二进制文件，分别针对32 位和 64 位架构进行编译。

3. PackerE Loader的部署

• 其中一个代号为PackerE 的二进制文件负责：
• 下载加密的 DLL，这有助于混淆实际的有效载荷。
• 执行另一个DLL 加载器，将MassJacker 恶意软件注入合法的 Windows 进程InstalUtil.exe中。

4. 高级逃避技术

MassJacker 采用多种反分析方法，包括：

• JIT Hooking——在运行时改变函数调用以逃避传统检测。
• 元数据令牌映射——混淆函数调用，使静态分析变得困难。
• 自定义虚拟机执行——在解释环境中运行恶意软件，而不是直接 .NET 执行，以绕过安全解决方案。

5. 剪贴板监控和加密货币劫持

• 一旦激活，MassJacker 将会：
• 实时监控剪贴板内容。
• 使用正则表达式（regex）模式检查是否复制加密货币钱包地址。
• 如果找到匹配项，它会用从远程服务器下载的攻击者控制的钱包列表中的地址替换该地址。

6. 加密货币盗窃和资金转移

• 已确定与攻击者相关的超过778,531 个唯一钱包地址。
• 其中，423个钱包共计有95,300美元资金，而历史转账记录显示，至少有336,700美元在被洗钱前被盗。
• 发现一个攻击者钱包持有600 SOL（约合 87,000 美元），来自350 多笔交易的资金。

结论

MassJacker 恶意软件活动凸显了下载盗版软件的持续风险，因为网络犯罪分子利用此类平台传播以牟利为目的的恶意软件。凭借其先进的逃避功能、剪贴板监控和加密货币劫持技术，MassJacker 对从事数字资产交易的用户构成了严重威胁。

缓解策略：

✔避免从不受信任的来源下载软件— 盗版平台是常见的恶意软件传播媒介。✔使用信誉良好的安全软件— 行为分析工具可以帮助检测剪贴板操纵。✔在确认之前验证加密货币交易— 仔细检查钱包地址以避免劫持。✔使用基于浏览器的反恶意软件解决方案— 某些扩展程序可以防止剪贴板劫持。✔监控系统进程— 涉及InstalUtil.exe的异常活动可能表明存在恶意软件。

随着网络犯罪分子不断改进其策略，个人和组织必须采取主动的安全措施，以防范 MassJacker 等不断演变的威胁。

原文始发于微信公众号（KK安全说）：MassJacker攻击链分析