MassJacker 惡意軟體
網路安全研究人員發現了一項針對搜尋盜版軟體的用戶的新型惡意軟體活動。這次攻擊提供了一種先前未記錄的剪貼簿惡意軟體,名為 MassJacker,旨在透過操縱剪貼簿資料來竊取加密貨幣。
目錄
MassJacker 的工作原理:Clipper 惡意軟體威脅
Clipper 惡意軟體是一種威脅性的網路威脅,它會監視受害者的剪貼簿活動。當 PC 用戶複製加密貨幣錢包位址時,惡意軟體會將其替換為攻擊者控制的位址,將資金重新導向到網路犯罪分子而不是預期的收款人。
Pesktop.com:感染之門
感染鏈始於Pesktop.com,一個偽裝成盜版軟體來源的網站。然而,從該網站下載的用戶在不知情的情況下會與他們想要的軟體一起收到各種類型的惡意軟體。
一旦使用者執行初始可執行文件,它就會觸發一個 PowerShell 腳本,該腳本會下載一個名為 Amadey 的殭屍網路惡意軟體,以及兩個針對 32 位元和 64 位元架構設計的 .NET 二進位檔案。這些代號為 PackerE 的二進位檔案會下載一個加密的 DLL,然後將其註入到名為 InstalUtil.exe 的合法 Windows 進程中,以啟動 MassJacker 負載。
隱身模式:MassJacker 如何逃避偵測
為了避免被發現,該惡意軟體採用了多種混淆技術,包括:
- JIT Hooking :修改即時(JIT)編譯以逃避分析。
- 元資料令牌映射:隱藏函數調用,使分析更加困難。
- 自訂虛擬機器執行:它不運行標準.NET 程式碼,而是透過虛擬機器執行命令以防止被偵測。
此外,MassJacker 還具有自己的反調試機制,這使得安全研究人員更難以分析。
MassJacker 如何收集加密貨幣
一旦激活,MassJacker 就會持續監視受害者的剪貼簿。它使用正規表示式掃描複製的文字來偵測加密貨幣錢包位址。如果找到符合項,惡意軟體就會用攻擊者控制的預先下載的清單中的位址取代複製的錢包位址。
MassJacker 聯繫遠端伺服器以檢索更新的錢包位址列表,確保被盜資金繼續流入網路犯罪分子控制的帳戶。
襲擊規模驚人
研究人員已經確定與攻擊者相關的超過 778,531 個唯一錢包地址。然而,目前只有 423 個錢包持有總額約 95,300 美元的資金。在資金轉出之前,攻擊者已累積了約 336,700 美元的被盜數位資產。
與該活動相關的一個錢包裡有大約 87,000 美元(600 SOL),有超過 350 筆交易從各種受損地址向其中匯入資金。
MassJacker 背後是誰?
MassJacker 背後的網路犯罪分子的身份仍然未知。然而,研究人員發現 MassJacker 與另一個名為MassLogger 的惡意軟體有相似之處,後者也使用 JIT 掛鉤來抵抗分析。這表明這兩種威脅之間可能存在聯繫或具有共同的發展背景。
保持安全:如何保護自己
- 避免下載盜版軟體-許多非法軟體網站充當惡意軟體的傳播平台。
- 使用強大的安全軟體—可靠的反惡意軟體偵測工具可以幫助在威脅造成危害之前發現它們。
- 仔細檢查錢包位址-在轉移加密貨幣之前,務必手動驗證錢包位址。
- 保持軟體更新-定期更新確保修補漏洞,降低惡意軟體感染的風險。
隨著網路犯罪分子不斷改進其攻擊手段,保持知情和謹慎是抵禦 MassJacker 等威脅的最佳防御手段。
