黑暗網路的數位海盜:
MassJacker如何暗中竊取加密貨幣

Cyber​​Ark 介紹了一種新發現的名為MassJacker 的惡意軟體。 Cyber​​Ark詳細介紹了他們的研究過程,包括他們如何發現加密劫持的機制,其中包括替換受害者剪貼簿中的加密貨幣錢包位址。他們的分析揭示了與先前的惡意軟體 MassLogger 的聯繫,表明存在一個共同的威脅行為者 (Threat actor)。儘管MassJacker 的創建需要付出很多努力,但它造成的直接財務影響似乎相對較小,不過研究人員發現了大量相關的加密貨幣位址,其中持有的金額更大,可能與更廣泛的惡意攻擊有關。

黑暗網路的數位海盜:MassJacker如何暗中竊取加密貨幣| 資訊安全新聞

MassJacker 的秘密行動

雖然勒索軟體和資訊竊取者經常佔據新聞頭條,但MassJacker的運作更加隱秘,試圖透過操縱用戶的剪貼簿來竊取數位貨幣。當受害者複製加密貨幣錢包位址時,MassJacker 會迅速將其替換為攻擊者的位址,希望在不被注意的情況下轉移資金。

解開感染鏈

MassJacker的感染鏈充分體現了其創作者的先進技術。這一切始於一個欺騙性的網站 pesktop[.]com,該網站偽裝成盜版軟體的來源。該網站啟動了一系列涉及 cmd 和 PowerShell Script 的事件,這些 Script 下載了三個可執行檔。其中包括已知殭屍網路 Amadey 和MassJacker惡意軟體本身的兩個版本,針對不同的系統架構進行客製化。

反分析技術的層次

深入研究惡意軟體的結構可以發現其採用多層次方法來逃避檢測和分析。研究人員專注於了一個名為 PackerE 的 32 位元元件,它會下載一個名為 PackerD1 的加密 DLL。 PackerD1 採用了五種不同的反分析技術。其中包括複雜的 JIT Hooking 過程,這是一種在執行時 (Runtime) 修改函數以阻礙靜態分析的 .NET 技術。另一種技術涉及 Metadata Token Mapping,它可以混淆程式的控制流程。

先前威脅的迴響:MassLogger

有趣的是,分析發現 PackerD1 與先前的惡意軟體 MassLogger 使用的封裝程式具有很強的相似性。兩者都採用了 JIT Hooking 和 Metadata Token Mapping ,甚至共享幾乎相同的程式碼片段。儘管與專注於加密劫持的MassJacker相比,MassLogger 具有更廣泛的功能,但這些相似之處表明兩者背後的威脅行為者之間存在潛在聯繫。

虛擬化和字串混淆的作用

對 PackerD1 的進一步剖析揭示了一個用於控制流程混淆和解密下一階段的客制虛擬機器(VM)。 PackerD1 中的第四個資源採用了巧妙的字串建構器技術來隱藏可讀字串。最終,這些層導致 PackerD2 的載入和執行,而 PackerD2 本身又利用了 Costura 封裝程式。 PackerD2 解壓縮並將最終的MassJacker注入新建立的程序中。

最終Payload及其設定

MassJackerPayload延續了反分析措施的趨勢,透過將記憶體部分清除並採用無限循環來檢測除錯器 (Debuger)。Payload還包含加密貨幣和命令與控制(C2)位址的正規表示式設定。MassJackerC2 伺服器下載加密貨幣錢包的 AES 加密清單:各種類型的 recovery.dat 和專用於 Solana 錢包的 recoverysol.dat。這些清單是打開「寶藏」的鑰匙。

發掘錢包裡的數位財富

對這些錢包名單的調查得出了令人驚訝的結果。研究人員發現與MassJacker相關的超過 750,000 個獨特的加密貨幣位址。透過解密舊的攻擊文件,他們顯著擴大了初始數量。雖然這些錢包大部分都是空的,但有 423 個錢包曾存放過資金,分析時總額約為 95,300 美元,如果算上已轉移的資金,累計總額超過 336,700 美元。

值得注意的加密貨幣儲備

在眾多的錢包中,有兩個錢包格外引人注目。Litecoin 錢包 (ltc1qcvt96u7ul76ha5m3rmy9ajn00avfkmsqpcfpsh) 顯示,交易整合了來自眾多其他錢包的資金,暗示該操作由單一參與者管理。最重要的發現是一個 Solana 錢包 (CJpe4dUcV5Knc2XZKTVsTNHm2MpmJGJNWCJdkfbNdYF5),它持有大部分資金,總額超過 2075 SOL,價值超過 300,000 美元。這個「母錢包」也有持有 NFT 的歷史,而且交易量異常高,這引發了人們對其可能參與其他惡意攻擊的質疑。

加密劫持的低調影響

儘管加密劫持行動規模驚人,且涉及的加密貨幣數量龐大,但仍常常被其他類型的惡意軟體所掩蓋。部落格文章提出了造成這種情況的幾個原因,包括與勒索軟體相比盈利能力可能較低,以及檢測加密劫持者的挑戰,因為他們的惡意行為可能是微妙的且依環境而變化。對封裝元件的靜態分析可能無法輕易揭示最終的加密劫持Payload。

持續威脅研究的重要性

最終,對MassJacker的研究強調了持續警惕和調查各種形式的網路威脅的重要性,即使是那些看起來不那麼突出的威脅。 Cyber​​Ark Labs 發現的「寶藏」清楚地提醒我們,即使是看似不顯眼的惡意軟體也可能帶來大量非法收益,並為我們了解網路犯罪分子的策略和基礎設施提供了寶貴的見解。

結論

Cyber​​Ark Labs 對MassJacker加密劫持惡意軟體的調查揭示了一種複雜的威脅,它採用了多種反分析技術,成功積累了超過 750,000 個加密貨幣位址和超過 300,000 美元的數位貨幣,凸顯出即使是不太知名的惡意軟體類型也有可能獲得巨額非法收益。發現的與 MassLogger 惡意軟體的相似之處表明威脅行為者之間可能存在聯繫。儘管加密劫持規模巨大、財務影響巨大,但它受到的關注往往不如其他威脅,這凸顯了持續研究各種形式的網路犯罪以發現有價值的情報並潛在地識別威脅行為者的重要性。