今天小编分享的互联网经验:MassJacker 恶意軟體出手,778,000 个钱包加密货币被盗取,欢迎阅读。
新发现的剪贴板劫持操作 "MassJacker",利用至少 778,531 个加密货币钱包地址,从受感染计算机中窃取数字资产。
据发现 MassJacker 活动的 CyberArk 称,在分析时,与该行动相关的大约 423 个钱包内共有 95,300 美元。不过,历史数据显示,其涉及的交易金额曾更大。此外,威胁行为者似乎将一个 Solana 钱包作为中央收款中心,截至目前,该钱包已累计完成超过 30 万美元的交易。
CyberArk 怀疑整个 MassJacker 行动与特定威胁组织有关联。因为在整个活动过程中,从命令和控制伺服器下载的檔案名,以及用于解密檔案的加密密钥始终保持一致。然而,该操作也有可能遵循恶意軟體即服务模式,由中央管理员向各类网络犯罪分子出售访问权限。
CyberArk 将 MassJacker 称为加密劫持操作,虽然 " 加密劫持 " 这一术语通常更多用于描述利用受害者的处理 / 硬體资源进行未经授权的加密货币挖掘行为。实际上,MassJacker 依赖于剪贴板劫持恶意軟體(clippers)。这种恶意軟體会监视 Windows 剪贴板中复制的加密货币钱包地址,并将其替换为攻击者控制下的地址。如此一来,受害者在不知情的情况下,就会把原本要汇给他人的钱,错汇给攻击者。剪辑器这种工具虽简单,却极为有效。由于其功能和操作范围有限,特别难以被察觉。
技术细节
MassJacker 通过 pesktop [ . ] com 进行分发,该网站既托管盗版軟體,也存在恶意軟體。从该站点下载的軟體安装程式会执行一个 cmd 脚本,该脚本进而触发一个 PowerShell 脚本,PowerShell 脚本会获取一个 Amadey 机器人以及两个加载器檔案(PackerE 和 PackerD1)。Amadey 启动 PackerE,随后 PackerE 解密并将 PackerD1 加载到内存中。
PackerD1 具备五种嵌入式资源,用以增强其逃避检测和反分析的性能。这些资源包括即时(JIT)挂钩、用于混淆函数调用的元数据令牌映射,以及用于命令解释的自定义虚拟机(并非运行常规的 .NET 代码)。PackerD1 解密并注入 PackerD2,最终解压缩并提取出最终有效负载 MassJacker,并将其注入合法的 Windows 进程 "InstalUtil.exe" 中。
MassJacker 利用正则表达式模式,对剪贴板中的加密货币钱包地址进行监视。一旦发现匹配的地址,就会将其替换为加密列表中攻击者控制的钱包地址。
CyberArk 呼吁网络安全研究界密切关注 MassJacker 这类大型加密劫持行动。尽管此类行动造成的经济损失可能相对较低,但却能够泄露许多威胁行为者的宝贵身份信息。
