新發現的剪貼板劫持操作 “MassJacker”，利用至少 778,531 個加密貨幣錢包地址，從受感染計算機中竊取數字資產。

據發現 MassJacker 活動的 CyberArk 稱，在分析時，與該行動相關的大約 423 個錢包內共有 95,300 美元。不過，歷史數據顯示，其涉及的交易金額曾更大。此外，威脅行為者似乎將一個 Solana 錢包作為中央收款中心，截至目前，該錢包已累計完成超過 30 萬美元的交易。

CyberArk 懷疑整個 MassJacker 行動與特定威脅組織有關聯。因為在整個活動過程中，從命令和控制服務器下載的文件名，以及用于解密文件的加密密鑰始終保持一致。然而，該操作也有可能遵循惡意軟件即服務模式，由中央管理員向各類網絡犯罪分子出售訪問權限。

CyberArk 將 MassJacker 稱為加密劫持操作，雖然 “加密劫持” 這一術語通常更多用于描述利用受害者的處理 / 硬件資源進行未經授權的加密貨幣挖掘行為。實際上，MassJacker 依賴于剪貼板劫持惡意軟件（clippers）。這種惡意軟件會監視 Windows 剪貼板中復制的加密貨幣錢包地址，并將其替換為攻擊者控制下的地址。如此一來，受害者在不知情的情況下，就會把原本要匯給他人的錢，錯匯給攻擊者。剪輯器這種工具雖簡單，卻極為有效。由于其功能和操作范圍有限，特別難以被察覺。

技術細節

MassJacker 通過 pesktop [.] com 進行分發，該網站既托管盜版軟件，也存在惡意軟件。從該站點下載的軟件安裝程序會執行一個 cmd 腳本，該腳本進而觸發一個 PowerShell 腳本，PowerShell 腳本會獲取一個 Amadey 機器人以及兩個加載器文件（PackerE 和 PackerD1）。Amadey 啟動 PackerE，隨后 PackerE 解密并將 PackerD1 加載到內存中。

PackerD1 具備五種嵌入式資源，用以增強其逃避檢測和反分析的性能。這些資源包括即時（JIT）掛鉤、用于混淆函數調用的元數據令牌映射，以及用于命令解釋的自定義虛擬機（并非運行常規的.NET 代碼）。PackerD1 解密并注入 PackerD2，最終解壓縮并提取出最終有效負載 MassJacker，并將其注入合法的 Windows 進程 “InstalUtil.exe” 中。

MassJacker 利用正則表達式模式，對剪貼板中的加密貨幣錢包地址進行監視。一旦發現匹配的地址，就會將其替換為加密列表中攻擊者控制的錢包地址。

CyberArk 呼吁網絡安全研究界密切關注 MassJacker 這類大型加密劫持行動。盡管此類行動造成的經濟損失可能相對較低，但卻能夠泄露許多威脅行為者的寶貴身份信息。

參考及來源：https://www.bleepingcomputer.com/news/security/massjacker-malware-uses-778-000-wallets-to-steal-cryptocurrency/