MassJacker Clipper 恶意软件攻击安装盗版软件的用户

一种新发现的名为 “MassJacker” 的加密劫持恶意软件，正瞄准下载盗版软件的用户，它会替换加密货币钱包地址，将资金引流至攻击者手中。

该恶意软件充当剪贴板劫持者，监控用户复制加密钱包地址的操作，并悄然将其替换为威胁行为者控制的地址。

感染链始于诸如 pesktop [.] com 这类网站，它们打着提供盗版软件的幌子，实则传播恶意软件。当用户下载这些看似正常的程序时，恶意软件会执行一个命令脚本，随后是一个 PowerShell 脚本，该脚本会下载多个额外的可执行文件。

CYBERARK 的安全研究人员发现，MassJacker 采用了复杂的反分析技术来逃避检测，包括即时（JIT）挂钩、元数据令牌映射，以及通过自定义虚拟机实现代码混淆。

该恶意软件的结构表明它与早期名为 MassLogger 的威胁存在关联，不过其功能专门聚焦于加密货币盗窃。

一份详细阐述该威胁的报告解释道：“MassJacker 的工作原理是将用户在剪贴板中复制的加密钱包地址，替换为攻击者的地址。通过这种方式，攻击者试图诱使受害者将资金转移到攻击者的地址，而非原本的目标地址。”

该恶意软件使用经过 AES 加密的、由攻击者控制的钱包列表，这些列表以下载 recovery.dat 和 recoverysol.dat 文件的形式呈现。

在分析感染过程时，研究人员发现 MassJacker 使用了多种压缩器，并采用进程注入的方式，将恶意负载隐藏在一个看似正常的名为 InstalUtil.exe 的进程中。

盗窃行动的庞大规模

一项惊人的发现显示，MassJacker 背后的威胁行为者部署的行动涉及超过 778,531 个独特的加密货币钱包地址。调查发现一个特别活跃的 Solana 钱包，其地址为 “CJpe4dUcV5Knc2XZKTVsTNHm2MpmJGJNWCJdkfbNdYF5”，在被发现时持有价值约 8.7 万美元的 Solana 代币。

历史分析表明，这个钱包此前曾持有超过 2075 个 SOL，价值超过 30 万美元。该钱包广泛的交易历史，包括 NFT 交易，表明它可能参与了除加密劫持之外的多种犯罪活动。

一名受害者在推特上称资金被盗并被转移到这个特定钱包，这表明该行动影响范围广泛。大量的交易记录表明，所有资金不太可能仅仅来自剪贴板劫持，这意味着同一威胁行为者还开展了其他恶意活动。