据CyberArk研究人员称，一种名为MassJacker的新型剪贴板恶意软件正在针对搜索盗版软件的用户发起攻击。

剪贴板恶意软件的运作原理

剪贴板恶意软件是一类专门设计用于拦截和操纵剪贴板数据的恶意软件，通常用于窃取加密货币。当受害者复制一个加密货币钱包地址时，该恶意软件会将其替换为攻击者控制的地址，从而将资金转至黑客而非预期接收者。

这种恶意软件在后台静默运行，实时监控剪贴板活动并篡改复制的文本。一些高级变种还包含反检测技术，并能够与远程服务器通信以动态更新钱包地址。

MassJacker的传播与感染机制

MassJacker的感染始于一个名为pesktop[.]com的盗版软件分发网站，该网站同时传播恶意软件。攻击过程包括执行一个cmd脚本，随后运行PowerShell脚本，该脚本会下载三个可执行文件，包括Amadey僵尸网络和两个.NET可执行文件（32位和64位）。名为PackerE的恶意软件下载一个加密的DLL（PackerD1），该文件采用了多种反分析技术。接着，它加载包含MassJacker有效载荷的PackerD2，并将其注入InstalUtil.exe中执行。

PackerD1使用了JIT Hooking技术，这是一种.NET技术，通过挂钩JIT编译器的compileMethod在运行时修改函数。这种方法混淆了代码执行，使得静态分析更加困难。恶意软件的第一个资源包含了JIT Hooking所需的替换代码和大小数据，它在进一步执行前解析并应用这些数据。

MassJacker的反分析与加密货币窃取技术

MassJacker支持多种反分析技术，包括内存混淆和无限反调试循环。它使用一个包含正则表达式模式的配置文件来检测加密货币钱包地址和C2（命令与控制）地址，以下载加密的钱包列表（recovery.dat和recoverysol.dat）。这些文件包含被窃取的加密货币钱包地址，其中后者专门针对Solana钱包。MassJacker监控剪贴板活动，将复制的钱包地址替换为攻击者控制的地址，从而实现加密货币窃取。

CyberArk在报告中提到：“在调查从C2下载的钱包地址时，我们发现威胁行为者长时间使用相同的加密方案而未更改密钥。这意味着我们可以使用MassJacker解密早期攻击活动中的文件，并恢复更多地址。”报告进一步指出：“虽然我们最初分析的样本中使用了约5万个属于威胁行为者的钱包，但通过添加早期文件中的钱包，我们最终得到了778,531个唯一地址！”

加密货币盗窃的规模与资金来源

CyberArk报告称，在检查时，与MassJacker相关的钱包中持有95,300美元，此前总共转出了336,700美元。然而，只有423个钱包中包含资金，研究人员认为实际数字可能更高。专家猜测，大部分资金并非仅来自加密货币窃取，还可能来自其他恶意活动。此外，加密货币价值的波动也使得精确估算变得不确定。因此，总金额可能高于或低于报告数据。

MassJacker的商业模式及威胁行为者分析

MassJacker似乎是一种恶意软件即服务（MaaS），可能被多个威胁行为者使用，类似于Amadey和MassLogger。尽管如此，研究人员认为发现的这些钱包可能属于单一威胁行为者，因为共享的文件名、加密密钥以及一个Litecoin钱包整合了来自多个来源的资金。虽然这一结论并非定论，但这种模式表明可能是一个单一实体在管理被盗资金，而非多个独立的操作者。

报告最后总结道：“很难说为什么加密货币窃取者如此鲜为人知。一种可能是他们数量本就不多。如果加密货币窃取并不那么有利可图，自然就不会有太多人从事这一行。另一种可能是他们更难以被识别。在使用沙箱进行分析时，勒索软件和信息窃取者因其访问的文件而容易被发现。而加密货币窃取者则只在特定条件下实施恶意行为，可能会在沙箱中被忽视。”

通过以上分析可以看出，MassJacker是一种复杂且具有针对性的恶意软件，专门针对盗版软件用户发起攻击，并通过多种技术手段规避检测，成功窃取了大量加密货币。网络安全专家提醒用户，避免使用盗版软件，并保持系统更新，以防止类似攻击的发生。

参考来源：

New MassJacker clipper targets pirated software seekers