今天小編分享的互聯網經驗:MassJacker 惡意軟體出手,778,000 個錢包加密貨币被盜取,歡迎閱讀。
新發現的剪貼板劫持操作 "MassJacker",利用至少 778,531 個加密貨币錢包地址,從受感染計算機中竊取數字資產。
據發現 MassJacker 活動的 CyberArk 稱,在分析時,與該行動相關的大約 423 個錢包内共有 95,300 美元。不過,歷史數據顯示,其涉及的交易金額曾更大。此外,威脅行為者似乎将一個 Solana 錢包作為中央收款中心,截至目前,該錢包已累計完成超過 30 萬美元的交易。
CyberArk 懷疑整個 MassJacker 行動與特定威脅組織有關聯。因為在整個活動過程中,從命令和控制伺服器下載的檔案名,以及用于解密檔案的加密密鑰始終保持一致。然而,該操作也有可能遵循惡意軟體即服務模式,由中央管理員向各類網絡犯罪分子出售訪問權限。
CyberArk 将 MassJacker 稱為加密劫持操作,雖然 " 加密劫持 " 這一術語通常更多用于描述利用受害者的處理 / 硬體資源進行未經授權的加密貨币挖掘行為。實際上,MassJacker 依賴于剪貼板劫持惡意軟體(clippers)。這種惡意軟體會監視 Windows 剪貼板中復制的加密貨币錢包地址,并将其替換為攻擊者控制下的地址。如此一來,受害者在不知情的情況下,就會把原本要匯給他人的錢,錯匯給攻擊者。剪輯器這種工具雖簡單,卻極為有效。由于其功能和操作範圍有限,特别難以被察覺。
技術細節
MassJacker 通過 pesktop [ . ] com 進行分發,該網站既托管盜版軟體,也存在惡意軟體。從該站點下載的軟體安裝程式會執行一個 cmd 腳本,該腳本進而觸發一個 PowerShell 腳本,PowerShell 腳本會獲取一個 Amadey 機器人以及兩個加載器檔案(PackerE 和 PackerD1)。Amadey 啟動 PackerE,随後 PackerE 解密并将 PackerD1 加載到内存中。
PackerD1 具備五種嵌入式資源,用以增強其逃避檢測和反分析的性能。這些資源包括即時(JIT)挂鉤、用于混淆函數調用的元數據令牌映射,以及用于命令解釋的自定義虛拟機(并非運行常規的 .NET 代碼)。PackerD1 解密并注入 PackerD2,最終解壓縮并提取出最終有效負載 MassJacker,并将其注入合法的 Windows 進程 "InstalUtil.exe" 中。
MassJacker 利用正則表達式模式,對剪貼板中的加密貨币錢包地址進行監視。一旦發現匹配的地址,就會将其替換為加密列表中攻擊者控制的錢包地址。
CyberArk 呼籲網絡安全研究界密切關注 MassJacker 這類大型加密劫持行動。盡管此類行動造成的經濟損失可能相對較低,但卻能夠洩露許多威脅行為者的寶貴身份信息。
