據CyberArk研究人員稱，一種名為MassJacker的新型剪貼板惡意軟件正在針對搜索盜版軟件的用戶發起攻擊。

剪貼板惡意軟件的運作原理

剪貼板惡意軟件是一類專門設計用于攔截和操縱剪貼板數據的惡意軟件，通常用于竊取加密貨幣。當受害者復制一個加密貨幣錢包地址時，該惡意軟件會將其替換為攻擊者控制的地址，從而將資金轉至黑客而非預期接收者。

這種惡意軟件在后臺靜默運行，實時監控剪貼板活動并篡改復制的文本。一些高級變種還包含反檢測技術，并能夠與遠程服務器通信以動態更新錢包地址。

MassJacker的傳播與感染機制

MassJacker的感染始于一個名為pesktop[.]com的盜版軟件分發網站，該網站同時傳播惡意軟件。攻擊過程包括執行一個cmd腳本，隨后運行PowerShell腳本，該腳本會下載三個可執行文件，包括Amadey僵尸網絡和兩個.NET可執行文件（32位和64位）。名為PackerE的惡意軟件下載一個加密的DLL（PackerD1），該文件采用了多種反分析技術。接著，它加載包含MassJacker有效載荷的PackerD2，并將其注入InstalUtil.exe中執行。

PackerD1使用了JIT Hooking技術，這是一種.NET技術，通過掛鉤JIT編譯器的compileMethod在運行時修改函數。這種方法混淆了代碼執行，使得靜態分析更加困難。惡意軟件的第一個資源包含了JIT Hooking所需的替換代碼和大小數據，它在進一步執行前解析并應用這些數據。

MassJacker的反分析與加密貨幣竊取技術

MassJacker支持多種反分析技術，包括內存混淆和無限反調試循環。它使用一個包含正則表達式模式的配置文件來檢測加密貨幣錢包地址和C2（命令與控制）地址，以下載加密的錢包列表（recovery.dat和recoverysol.dat）。這些文件包含被竊取的加密貨幣錢包地址，其中后者專門針對Solana錢包。MassJacker監控剪貼板活動，將復制的錢包地址替換為攻擊者控制的地址，從而實現加密貨幣竊取。

CyberArk在報告中提到：“在調查從C2下載的錢包地址時，我們發現威脅行為者長時間使用相同的加密方案而未更改密鑰。這意味著我們可以使用MassJacker解密早期攻擊活動中的文件，并恢復更多地址。”報告進一步指出：“雖然我們最初分析的樣本中使用了約5萬個屬于威脅行為者的錢包，但通過添加早期文件中的錢包，我們最終得到了778,531個唯一地址！”

加密貨幣盜竊的規模與資金來源

CyberArk報告稱，在檢查時，與MassJacker相關的錢包中持有95,300美元，此前總共轉出了336,700美元。然而，只有423個錢包中包含資金，研究人員認為實際數字可能更高。專家猜測，大部分資金并非僅來自加密貨幣竊取，還可能來自其他惡意活動。此外，加密貨幣價值的波動也使得精確估算變得不確定。因此，總金額可能高于或低于報告數據。

MassJacker的商業模式及威脅行為者分析

MassJacker似乎是一種惡意軟件即服務（MaaS），可能被多個威脅行為者使用，類似于Amadey和MassLogger。盡管如此，研究人員認為發現的這些錢包可能屬于單一威脅行為者，因為共享的文件名、加密密鑰以及一個Litecoin錢包整合了來自多個來源的資金。雖然這一結論并非定論，但這種模式表明可能是一個單一實體在管理被盜資金，而非多個獨立的操作者。

報告最后總結道：“很難說為什么加密貨幣竊取者如此鮮為人知。一種可能是他們數量本就不多。如果加密貨幣竊取并不那么有利可圖，自然就不會有太多人從事這一行。另一種可能是他們更難以被識別。在使用沙箱進行分析時，勒索軟件和信息竊取者因其訪問的文件而容易被發現。而加密貨幣竊取者則只在特定條件下實施惡意行為，可能會在沙箱中被忽視。”

通過以上分析可以看出，MassJacker是一種復雜且具有針對性的惡意軟件，專門針對盜版軟件用戶發起攻擊，并通過多種技術手段規避檢測，成功竊取了大量加密貨幣。網絡安全專家提醒用戶，避免使用盜版軟件，并保持系統更新，以防止類似攻擊的發生。