新型 MassJacker 恶意软件针对盗版软件用户,劫持加密货币交易
HackerNews 编译,转载请注明出处: 据CyberArk的研究发现,一款名为MassJacker的新型剪贴板恶意软件正在威胁使用盗版软件的用户,该恶意软件通过替换用户复制的加密货币钱包地址,将资金引流向攻击者控制的钱包,进而窃取加密货币。 剪贴板恶意软件是一种专门设计用于拦截和操纵剪贴板数据的恶意软件,通常用于窃取加密货币。当受害者复制一个加密货币钱包地址时,该恶意软件会将其替换为攻击者控制的地址,从而将资金转至黑客而非预期接收者。 “感染链始于一个名为pesktop[.]com的网站,该网站以提供盗版软件为幌子,同时试图让人们下载各种恶意软件。”安全研究员阿里·诺维克在本周早些时候发布的一份分析报告中表示。 最初的可执行文件充当了一个通道,用于运行一个PowerShell脚本,该脚本会交付一个名为Amadey的僵尸网络恶意软件,以及两个分别针对32位和64位架构的.NET可执行文件。 名为PackerE的二进制文件负责下载一个加密的DLL,该文件随后加载第二个DLL文件,通过将其注入名为“InstalUtil.exe”的合法Windows进程中来启动MassJacker的有效载荷。 加密的DLL具备多种增强其规避和反分析能力的功能,包括即时(JIT)挂钩、元数据令牌映射以隐藏函数调用,以及一个自定义虚拟机来解释命令,而非运行常规的.NET代码。 MassJacker自身带有反调试检查和一个配置文件,用于检索所有用于标记剪贴板中加密货币钱包地址的正则表达式模式。它还会联系远程服务器以下载包含攻击者控制的钱包列表的文件。 “MassJacker创建了一个事件处理程序,每当受害者复制任何内容时都会运行。”诺维克表示。“该处理程序会检查正则表达式模式,如果找到匹配项,就会将复制的内容替换为从下载列表中获取的属于威胁行为者的钱包地址。” CyberArk表示,他们识别出超过778,531个属于攻击者的唯一地址,其中只有423个地址包含总计约95,300美元的资金。但在这些钱包的资金被转出之前,所有钱包中持有的数字资产总额约为336,700美元。 此外,价值约87,000美元(600 SOL)的加密货币被发现存放在一个单一钱包中,有超过350笔交易将资金从不同地址转入该钱包。 目前尚不清楚MassJacker背后的攻击者身份,尽管对源代码的深入检查发现其与另一种名为MassLogger的恶意软件存在重叠,后者也利用了JIT挂钩技术以抵抗分析。 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文