1. 技術架構與散播生態系

與加密貨幣相關的網路威脅樣貌,已從單純的網路釣魚攻擊演變為多層次且複雜的操作手法,這些手法會將平台信任訊號武器化。這份研究檢視了一個精心策劃的攻擊活動,該活動透過在多個散播管道上操縱聲譽指標,來散發以 Rust 撰寫的剪貼簿劫持程式(clipper) [1] 。此攻擊行動瞄準那些尋求高頻交易優勢的使用者,例如 Solana sniper bots 與「crash-game」預測工具,並利用人們對自動化獲利的心理渴望來繞過傳統的安全性戒心。此攻擊活動的技術精密度不僅在於其 Malicious payload,也在於其廣泛的基礎架構,該架構橫跨多個高權威網域,以營造無所不在的可信感。透過分析社交工程與技術執行的交集點,我們能更清楚地掌握當前去中心化金融(DeFi)惡意軟體的發展軌跡。這份報告提供了此劫持程式跨平台能力、其持續性機制,以及 Threat actor 為確保長期運作成功所採用的新穎聲譽投毒戰術(reputation-poisoning tactic)的深入技術分析。

SniperBot背後藏著聲譽投毒?剪貼簿劫持程式用15,000個假位址置換你的加密貨幣! | 資訊安全新聞

1. 技術架構與散播生態系

Threat actor 建立了一個模仿合法軟體開發與推廣週期的欺騙性生態系。有別於依賴 obscure domain 的傳統惡意軟體散播方式,此攻擊活動利用包含 GitHub、SourceForge 和 YouTube 在內的高權威平台,來建構「合法性的假象」 [1] 。透過運用「幽靈網路」(Ghost Network, 由自動化或被入侵的帳號組成的群集),攻擊者會誇大星星數、分岔數與下載次數等互動指標。

sequenceDiagram participant V as Victim participant P as Phishing Hub (WordPress) participant G as GitHub/SourceForge (Ghost Networks) participant Y as YouTube (AI Narrator) participant M as Malware Payload (Rust) V->>Y: Watches AI-generated tutorial Y-->>V: Directs to Phishing Hub V->>P: Browses "Sniper Bot" tools P-->>G: Redirects to high-star repository G-->>V: Downloads Malicious Archive V->>M: Executes "Unlocker" / Binary M->>M: Establishes Persistence & Hijacking

散播鏈透過 AI 生成的內容加以強化。帶有合成語音旁白的 YouTube 影片提供了「社會證明」(Social Proof),而不尋常的觀看次數飆升則暗示著協同的機器人活動 [1] 。這種多管道途徑確保了即使某個平台執行了下架動作,攻擊者仍能在其他地方維持能見度,形成一個具自我修復能力的散播網路。此外,運用 AI 旁白使 Threat actor 能夠以最少的力氣,製作出多國語言的專業級教學內容,從而擴大潛在受害者族群。這些合成主持人通常採用「可信賴顧問」的角色,引導使用者安裝這些「工具」,同時指示他們在「誤判」(False Positive)預防的藉口下,關閉 Windows Defender 或 macOS Gatekeeper 等安全功能。這種心理操縱是技術性感染的重要前奏,因為它讓受害者準備好忽略合法的安全性警告。將這些影片整合進更廣泛的生態系——連結回 WordPress 網釣中樞與高聲譽的 GitHub 儲存庫——創造了一個封閉迴路系統,其中每個組件都強化了其他組件的可信度。這種協同作用是現代進階持續性威脅(Advanced Persistent Threat, APT)為了大規模金融竊取而調整適應後的標誌性特徵。

2. Payload 分析:基於 Rust 的剪貼簿劫持程式

核心 Payload 是一個編譯過的 Rust 執行檔,選擇 Rust 的原因在於其高效能以及相較於直譯式腳本語言較低的偵測率。此惡意軟體會作為背景監聽程式運作,攔截系統層級的剪貼簿事件以執行「位址置換」(Address swapping)——一種將使用者複製的錢包位址替換為攻擊者所控制位址的技術。

2.1 Windows 實作與持續性機制

在 Windows 系統上,惡意軟體會將自身複製到 %APPDATA% 目錄,並在 Startup 資料夾中建立捷徑,藉此達成持續性。它利用原生 Windows API 註冊為剪貼簿格式監聽器,以確保能收到剪貼簿內容的每次變更通知 [1] 


    /*
    * Windows persistence and directory structure analysis
    * The malware creates a hidden directory and places its core binary
    * alongside deceptive configuration files.
    */
    SniperBot_Premium(Free)/
    ├── SniperBot_Premium(Free).exe          /* Main malicious loader */
    ├── Sniper_TradingBot.Premium(Trial).exe.config /* Deceptive config */
    ├── src/
    │   ├── config/
    │   │   └── silkebin.exe                /* Core hijacking module */

2.2 macOS 變種與監視機制

macOS 變種展示了更為積極的持續性策略。它會在 ~/Library/LaunchAgents/com.example..plist 安裝一個 LaunchAgent plist,並啟用 RunAtLoad KeepAlive 鍵值 [1] 。一個 30 秒的監視迴圈會持續監控並重新寫入持續性檔案,使得非技術使用者難以手動移除。 

  1. #!/bin/bash
  2. # unlocker.command - auto unlocker for .app bundles in the same folder
  3. # This script is used to bypass macOS Gatekeeper by removing the 'com.apple.quarantine' attribute.
  5. DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
  7. # Check if targets are provided via drag-and-drop or auto-search
  8. if [ $# -gt 0 ]; then
  9.   targets=("$@")
  10. else
  11.   # Find all .app bundles in the current directory
  12.   targets=( "$DIR"/*.app )
  13. fi
  15. for chosen in "${targets[@]}"; do
  16.   if [ -d "$chosen" ]; then
  17.     # Remove the quarantine extended attribute to allow execution of unsigned code
  18.     /usr/bin/xattr -cr "$chosen" 2>/dev/null
  19.     # Execute the unlocked application
  20.     /usr/bin/open "$chosen"
  21.   fi
  22. done

3. 聲譽投毒(Reputation Poisoning)與偵測規避

此攻擊活動的關鍵組成部分是對使用聲譽的偵測系統進行操縱。Threat actor 將「聲譽投毒」延伸至 VirusTotal,在那裡使用假帳號對惡意樣本投下良性的票,並留下「安全」的評論 [1] 。這種戰術利用了威脅情資社群驅動的特性,可能導致自動化安全解決方案錯誤分類入侵指標(Indicators Of Compromise, IOC)。當與初始的低偵測率結合時,這種手法的效果會被放大。當安全研究人員或自動化系統查詢新樣本,並看到零偵測結果以及社群多個「安全」投票時,誤判為良性的分類機率就會顯著增加。這種對信任訊號的系統性濫用代表了一種「Reputation-as-a-service」模式,其中 Threat actor 投入資源來積極管理其樣本的公眾觀感,以延長樣本的可用壽命。在某些情況下,攻擊者甚至會回應負面評論,將其駁斥為「User error」或「Competitor spam」,進一步混淆潛在受害者與分析人員的判斷。這種等級的主動攻擊活動管理,展現了高度的運作安全(OPerational SECurity, OPSEC)以及對安全產業依賴集體情報的深刻理解。透過在共享資料的水源中下毒,攻擊者創造了一個盲點,這個盲點可能在更廣泛的安全社群對該樣本的惡意本質達成共識之前,持續數週或數月之久。

此策略與在其他大規模攻擊活動中觀察到的技術相似,例如那些利用有漏洞的驅動程式來停用端點偵測與回應(Endpoint Detection and Response, EDR)解決方案的案例 [2] 。透過修改特定的 PE 區段,同時維持有效的數位簽章,攻擊者可以為相同的功能性惡意軟體產生數千個獨特的雜湊值,從而有效癱瘓使用雜湊的偵測機制 [2]

4. 劫持邏輯與正規表達式比對

劫持引擎依賴一份全面的正規表達式清單,用途為識別各種加密貨幣錢包格式。當偵測到比對時,惡意軟體會從內部資料庫中選擇一個攻擊者控制的位址。在 Windows 版本中,此資料庫包含超過 15,500 個位址,以確保置換後的位址在前綴和長度方面看起來與原始位址相似 [1] 

  1. /*
  2.  * macOS Hijacking Regex and Wallet Mapping (Partial List)
  3.  * Each regex is mapped to a specific attacker-controlled wallet.
  4.  */
  5. {
  6.   "Bitcoin_Bech32": {
  7.     "pattern": "\\b(bc1)[A-Za-z0-9]{26,45}\\b",
  8.     "replacement": "bc1qr8vgrcvacyea68gk6w0kdzt2xcc93azzhalyjl"
  9.   },
  10.   "Ethereum_EVM": {
  11.     "pattern": "\\b(0x)[A-Za-z0-9]{40,46}\\b",
  12.     "replacement": "0x22f24a22b6f824E9ef76B05B186c4D0C2Df58d67"
  13.   },
  14.   "Monero_XMR": {
  15.     "pattern": "\\b(4)[A-Za-z0-9]{90,98}\\b",
  16.     "replacement": "48SWwQ7QUSSPhHS9zWF9V9TKyK7FZVxDd9LghKbbkkYzB3AbhyKaCozMc26siguA2b6tce6tztCTXCWgyrypBLmW7HRxs6D"
  17.   }
  18. }

使用 Rust 可以在不造成顯著 CPU 負擔的情況下,有效率地執行正規表達式,從而讓惡意程式在使用者工作階段中保持隱匿。持續監控 OpenClipboard SetClipboardData API,確保在使用者執行複製操作後,置換動作幾乎能立即發生 [1] 。除了立即的竊取行為之外,此惡意軟體的架構也允許未來的模組化擴充。使用一個龐大的內嵌位址清單(超過 15,500 個項目)顯示了高度的準備工作,因為攻擊者目的在提供一個在外觀上能匹配受害者預期收款對象的替換位址。這種「視覺相似性」攻擊對於那些僅在確認交易前檢查位址頭尾幾個字元的使用者特別有效。此惡意軟體能夠處理多種區塊鏈——包括 Bitcoin、Ethereum、Solana 和 Monero——使其成為一個能竊取各式各樣資產的多功能工具。Rust 程式碼基礎的跨平台特性也減少了攻擊者的開發成本,使他們能夠使用大致相同的邏輯來同時鎖定 Windows 和 macOS 使用者。這種效率是此攻擊活動規模的關鍵因素,因為攻擊者可以快速進化其散播策略,同時維持穩定且有效的核心 payload。隨著加密貨幣生態系持續成長,在此攻擊活動中展示的技術——聲譽投毒、AI 驅動的社交工程,以及跨平台劫持——很可能會成為財務動機 Threat actor 的標準實務。

結論

「從星星數到讚數」攻擊活動代表了惡意軟體散播策略的重大轉變。透過優先操縱社交與技術聲譽訊號,而非複雜的混淆技術,Threat actor 成功繞過人類的戒心與自動化安全控管。技術分析揭示了一個強健的跨平台程式碼基礎,具備自我修復的持續性機制與高度針對性的財務竊取能力。防禦這類威脅需要超越靜態指標,轉向行為分析以及對平台提供之信任訊號的關鍵性驗證。

參考資料

  1. From Stars to Upvotes: Fake Reputation Fueling a Crypto Clipboard Hijacker
  2. 駭客大屠殺:數千惡意驅動程式正悄悄侵入你的電腦!