MassJacker 恶意软件
网络安全研究人员发现了一项针对搜索盗版软件的用户的新恶意软件活动。此次攻击提供了一种之前未记录的剪贴板恶意软件,名为 MassJacker,旨在通过操纵剪贴板数据来窃取加密货币。
目录
MassJacker 的工作原理:Clipper 恶意软件威胁
Clipper 恶意软件是一种威胁性的网络威胁,它会监视受害者的剪贴板活动。当 PC 用户复制加密货币钱包地址时,该恶意软件会将其替换为攻击者控制的地址,从而将资金重定向到网络犯罪分子,而不是预期的收件人。
Pesktop.com:感染之门
感染链始于伪装成盗版软件来源的网站 Pesktop.com。然而,从该网站下载的用户在不知情的情况下收到了各种类型的恶意软件以及他们想要的软件。
一旦用户运行初始可执行文件,它就会触发一个 PowerShell 脚本,该脚本会下载一个名为 Amadey 的僵尸网络恶意软件以及两个针对 32 位和 64 位架构设计的 .NET 二进制文件。这些代号为 PackerE 的二进制文件会下载一个加密的 DLL,然后将其注入名为 InstalUtil.exe 的合法 Windows 进程,从而启动 MassJacker 负载。
隐身模式:MassJacker 如何逃避检测
为了避免被发现,该恶意软件采用了多种混淆技术,包括:
- JIT Hooking :修改即时(JIT)编译以逃避分析。
- 元数据令牌映射:隐藏函数调用,使分析更加困难。
- 自定义虚拟机执行:它不运行标准.NET 代码,而是通过虚拟机执行命令以防止被检测。
此外,MassJacker 还具有自己的反调试机制,这使得安全研究人员更难以分析。
MassJacker 如何收集加密货币
一旦激活,MassJacker 就会持续监视受害者的剪贴板。它使用正则表达式扫描复制的文本以检测加密货币钱包地址。如果找到匹配项,该恶意软件会将复制的钱包地址替换为攻击者控制的预先下载的列表中的地址。
MassJacker 联系远程服务器以检索更新的钱包地址列表,确保被盗资金继续流入网络犯罪分子控制的账户。
袭击规模惊人
研究人员已确定与攻击者相关的 778,531 个唯一钱包地址。然而,目前只有 423 个钱包持有总计约 95,300 美元的资金。在资金转出之前,攻击者已积累了约 336,700 美元的被盗数字资产。
与该活动相关的一个钱包里有大约 87,000 美元(600 SOL),有超过 350 笔交易从各种受损地址向其中汇入资金。
MassJacker 背后是谁?
MassJacker 背后的网络犯罪分子身份尚不清楚。不过,研究人员发现 MassJacker 与另一种名为MassLogger 的恶意软件有相似之处,后者也使用 JIT 挂钩来抵抗分析。这表明这两种威胁之间可能存在联系,或者具有共同的开发背景。
保持安全:如何保护自己
- 避免下载盗版软件——许多非法软件网站充当恶意软件的传播平台。
- 使用强大的安全软件——可靠的反恶意软件检测工具可以帮助在威胁造成危害之前发现它们。
- 仔细检查钱包地址——在转移加密货币之前,务必手动验证钱包地址。
- 保持软件更新——定期更新确保修补漏洞,降低恶意软件感染的风险。
随着网络犯罪分子不断改进其攻击手段,保持知情和谨慎是抵御 MassJacker 等威胁的最佳防御手段。
