新發(fā)現(xiàn)的剪貼板劫持操作 “MassJacker”，利用至少 778,531 個(gè)加密貨幣錢包地址，從受感染計(jì)算機(jī)中竊取數(shù)字資產(chǎn)。

據(jù)發(fā)現(xiàn) MassJacker 活動(dòng)的 CyberArk 稱，在分析時(shí)，與該行動(dòng)相關(guān)的大約 423 個(gè)錢包內(nèi)共有 95,300 美元。不過，歷史數(shù)據(jù)顯示，其涉及的交易金額曾更大。此外，威脅行為者似乎將一個(gè) Solana 錢包作為中央收款中心，截至目前，該錢包已累計(jì)完成超過 30 萬美元的交易。

CyberArk 懷疑整個(gè) MassJacker 行動(dòng)與特定威脅組織有關(guān)聯(lián)。因?yàn)樵谡麄€(gè)活動(dòng)過程中，從命令和控制服務(wù)器下載的文件名，以及用于解密文件的加密密鑰始終保持一致。然而，該操作也有可能遵循惡意軟件即服務(wù)模式，由中央管理員向各類網(wǎng)絡(luò)犯罪分子出售訪問權(quán)限。

CyberArk 將 MassJacker 稱為加密劫持操作，雖然 “加密劫持” 這一術(shù)語通常更多用于描述利用受害者的處理 / 硬件資源進(jìn)行未經(jīng)授權(quán)的加密貨幣挖掘行為。實(shí)際上，MassJacker 依賴于剪貼板劫持惡意軟件（clippers）。這種惡意軟件會(huì)監(jiān)視 Windows 剪貼板中復(fù)制的加密貨幣錢包地址，并將其替換為攻擊者控制下的地址。如此一來，受害者在不知情的情況下，就會(huì)把原本要匯給他人的錢，錯(cuò)匯給攻擊者。剪輯器這種工具雖簡(jiǎn)單，卻極為有效。由于其功能和操作范圍有限，特別難以被察覺。

技術(shù)細(xì)節(jié)

MassJacker 通過 pesktop [.] com 進(jìn)行分發(fā)，該網(wǎng)站既托管盜版軟件，也存在惡意軟件。從該站點(diǎn)下載的軟件安裝程序會(huì)執(zhí)行一個(gè) cmd 腳本，該腳本進(jìn)而觸發(fā)一個(gè) PowerShell 腳本，PowerShell 腳本會(huì)獲取一個(gè) Amadey 機(jī)器人以及兩個(gè)加載器文件（PackerE 和 PackerD1）。Amadey 啟動(dòng) PackerE，隨后 PackerE 解密并將 PackerD1 加載到內(nèi)存中。

PackerD1 具備五種嵌入式資源，用以增強(qiáng)其逃避檢測(cè)和反分析的性能。這些資源包括即時(shí)（JIT）掛鉤、用于混淆函數(shù)調(diào)用的元數(shù)據(jù)令牌映射，以及用于命令解釋的自定義虛擬機(jī)（并非運(yùn)行常規(guī)的.NET 代碼）。PackerD1 解密并注入 PackerD2，最終解壓縮并提取出最終有效負(fù)載 MassJacker，并將其注入合法的 Windows 進(jìn)程 “InstalUtil.exe” 中。

MassJacker 利用正則表達(dá)式模式，對(duì)剪貼板中的加密貨幣錢包地址進(jìn)行監(jiān)視。一旦發(fā)現(xiàn)匹配的地址，就會(huì)將其替換為加密列表中攻擊者控制的錢包地址。

CyberArk 呼吁網(wǎng)絡(luò)安全研究界密切關(guān)注 MassJacker 這類大型加密劫持行動(dòng)。盡管此類行動(dòng)造成的經(jīng)濟(jì)損失可能相對(duì)較低，但卻能夠泄露許多威脅行為者的寶貴身份信息。

參考及來源：https://www.bleepingcomputer.com/news/security/massjacker-malware-uses-778-000-wallets-to-steal-cryptocurrency/