Давно работающий ботнет MyKings все еще работает и заработал не менее 24,7 миллиона долларов, используя свою сеть взломанных компьютеров для майнинга криптовалют.
MyKings, также известный как Smominru and Hexmen, является крупнейшим в мире ботнетом, предназначенным для добычи криптовалют путем бесплатного использования настольных и серверных процессоров своих жертв. Это прибыльный бизнес, который привлек к себе внимание в 2017 году после того, как заразил более полумиллиона компьютеров с Windows и за месяц добыл около 2,3 миллиона долларов Monero.
Охранная фирма Avast подтвердила, что ее операторы приобрели не менее 24,7 миллиона долларов в различных криптовалютах, которые были переведены на счета биткойнов, Ethereum и Dogecoin.
СМОТРИ: Эта новая программа-вымогатель шифрует ваши данные и также представляет некоторые опасные угрозы
Тем не менее, она утверждает, что эта группа использовала большую часть это через его «модуль стилера буфера обмена». Когда он обнаруживает, что кто-то скопировал адрес кошелька с криптовалютой (например, для совершения платежа), этот модуль затем заменяет другой адрес криптовалюты, контролируемый бандой.
Avast утверждает, что с начала 2020 года заблокировал программу для кражи буфера обмена MyKings со 144 000 компьютеров: модуль для кражи буфера обмена существует с 2018 года.
Исследование охранной фирмы Sophos показало, что средство для кражи буфера обмена, Trojan, контролирует компьютеры на предмет использования различных форматов кошельков для монет. Это работает, потому что люди часто используют функцию копирования / вставки для вставки относительно длинных идентификаторов кошельков при доступе к учетной записи.
«Этот метод основан на практике, согласно которой большинство (если не все) люди не вводят длинные идентификаторы кошельков, а хранят их где-нибудь и используют буфер обмена, чтобы скопировать их, когда они им понадобятся», — отмечает Sophos. отчет.
«Таким образом, когда они инициируют платеж в кошелек и копируют адрес в буфер обмена, троянец быстро заменяет его собственным кошельком злоумышленников, и платеж переводится на их счет».
Тем не менее, Sophos также отметил, что идентифицированные им адреса монет «получили не более нескольких долларов», предполагая, что кража монет была незначительной частью бизнеса MyKings.
Крипто-майнинг бизнеса в 2019 году преуспевал, по оценкам Sophos, он приносил около 10 000 долларов в месяц в октябре 2019 года.
Теперь Avast утверждает, что MyKings зарабатывает намного больше денег на трояне с буфером обмена после расширения 49 адресов монет, выявленных в исследовании Sophos, на более чем 1300 адресов монет. Avast предполагает, что роль кражи буфера обмена может быть намного больше, чем обнаружил Sophos.
СМОТРИ: Так команды Формулы-1 отбивают кибератаки
«Это вредоносное ПО рассчитано на то, что пользователи не ожидают вставлять значения отличается от того, который они скопировали », — поясняют исследователи Avast в своем отчете.
«Легко заметить, когда кто-то забывает скопировать и вставить что-то совершенно другое (например, текст вместо номера счета), но требуется особое внимание, чтобы заметить изменение длинной строки случайных чисел и буквы к очень похожей строке, такой как адреса криптокошелька.
«Этот процесс обмена выполняется с помощью функций OpenClipboard, EmptyClipboard, SetClipboardData и CloseClipboard. Несмотря на то, что эта функция довольно проста, есть опасения, что злоумышленники могли получить более 24 700 000 долларов США, используя такой простой метод ".
Некоторые косвенные доказательства, подтверждающие теорию о том, что программа для похищения буфера обмена действительно эффективна, включают комментарии людей по поводу Etherscan, который утверждал, что случайно переводил суммы на счета, включенные в исследование Avast.
«Мы настоятельно рекомендуем людям всегда перепроверять детали транзакции перед отправкой денег», — отмечает Avast.