據(jù)CyberArk研究人員稱，一種名為MassJacker的新型剪貼板惡意軟件正在針對搜索盜版軟件的用戶發(fā)起攻擊。

剪貼板惡意軟件的運作原理

剪貼板惡意軟件是一類專門設(shè)計用于攔截和操縱剪貼板數(shù)據(jù)的惡意軟件，通常用于竊取加密貨幣。當(dāng)受害者復(fù)制一個加密貨幣錢包地址時，該惡意軟件會將其替換為攻擊者控制的地址，從而將資金轉(zhuǎn)至黑客而非預(yù)期接收者。

這種惡意軟件在后臺靜默運行，實時監(jiān)控剪貼板活動并篡改復(fù)制的文本。一些高級變種還包含反檢測技術(shù)，并能夠與遠(yuǎn)程服務(wù)器通信以動態(tài)更新錢包地址。

MassJacker的傳播與感染機制

MassJacker的感染始于一個名為pesktop[.]com的盜版軟件分發(fā)網(wǎng)站，該網(wǎng)站同時傳播惡意軟件。攻擊過程包括執(zhí)行一個cmd腳本，隨后運行PowerShell腳本，該腳本會下載三個可執(zhí)行文件，包括Amadey僵尸網(wǎng)絡(luò)和兩個.NET可執(zhí)行文件（32位和64位）。名為PackerE的惡意軟件下載一個加密的DLL（PackerD1），該文件采用了多種反分析技術(shù)。接著，它加載包含MassJacker有效載荷的PackerD2，并將其注入InstalUtil.exe中執(zhí)行。

PackerD1使用了JIT Hooking技術(shù)，這是一種.NET技術(shù)，通過掛鉤JIT編譯器的compileMethod在運行時修改函數(shù)。這種方法混淆了代碼執(zhí)行，使得靜態(tài)分析更加困難。惡意軟件的第一個資源包含了JIT Hooking所需的替換代碼和大小數(shù)據(jù)，它在進(jìn)一步執(zhí)行前解析并應(yīng)用這些數(shù)據(jù)。

MassJacker的反分析與加密貨幣竊取技術(shù)

MassJacker支持多種反分析技術(shù)，包括內(nèi)存混淆和無限反調(diào)試循環(huán)。它使用一個包含正則表達(dá)式模式的配置文件來檢測加密貨幣錢包地址和C2（命令與控制）地址，以下載加密的錢包列表（recovery.dat和recoverysol.dat）。這些文件包含被竊取的加密貨幣錢包地址，其中后者專門針對Solana錢包。MassJacker監(jiān)控剪貼板活動，將復(fù)制的錢包地址替換為攻擊者控制的地址，從而實現(xiàn)加密貨幣竊取。

CyberArk在報告中提到：“在調(diào)查從C2下載的錢包地址時，我們發(fā)現(xiàn)威脅行為者長時間使用相同的加密方案而未更改密鑰。這意味著我們可以使用MassJacker解密早期攻擊活動中的文件，并恢復(fù)更多地址。”報告進(jìn)一步指出：“雖然我們最初分析的樣本中使用了約5萬個屬于威脅行為者的錢包，但通過添加早期文件中的錢包，我們最終得到了778,531個唯一地址！”

加密貨幣盜竊的規(guī)模與資金來源

CyberArk報告稱，在檢查時，與MassJacker相關(guān)的錢包中持有95,300美元，此前總共轉(zhuǎn)出了336,700美元。然而，只有423個錢包中包含資金，研究人員認(rèn)為實際數(shù)字可能更高。專家猜測，大部分資金并非僅來自加密貨幣竊取，還可能來自其他惡意活動。此外，加密貨幣價值的波動也使得精確估算變得不確定。因此，總金額可能高于或低于報告數(shù)據(jù)。

MassJacker的商業(yè)模式及威脅行為者分析

MassJacker似乎是一種惡意軟件即服務(wù)（MaaS），可能被多個威脅行為者使用，類似于Amadey和MassLogger。盡管如此，研究人員認(rèn)為發(fā)現(xiàn)的這些錢包可能屬于單一威脅行為者，因為共享的文件名、加密密鑰以及一個Litecoin錢包整合了來自多個來源的資金。雖然這一結(jié)論并非定論，但這種模式表明可能是一個單一實體在管理被盜資金，而非多個獨立的操作者。

報告最后總結(jié)道：“很難說為什么加密貨幣竊取者如此鮮為人知。一種可能是他們數(shù)量本就不多。如果加密貨幣竊取并不那么有利可圖，自然就不會有太多人從事這一行。另一種可能是他們更難以被識別。在使用沙箱進(jìn)行分析時，勒索軟件和信息竊取者因其訪問的文件而容易被發(fā)現(xiàn)。而加密貨幣竊取者則只在特定條件下實施惡意行為，可能會在沙箱中被忽視。”

通過以上分析可以看出，MassJacker是一種復(fù)雜且具有針對性的惡意軟件，專門針對盜版軟件用戶發(fā)起攻擊，并通過多種技術(shù)手段規(guī)避檢測，成功竊取了大量加密貨幣。網(wǎng)絡(luò)安全專家提醒用戶，避免使用盜版軟件，并保持系統(tǒng)更新，以防止類似攻擊的發(fā)生。