MyKingsボットネットはクリップボードを介して暗号通貨を盗みます

MyKingsボットネット (別名SmominruとDarkCloud) まだアクティブであり、暗号通貨を盗みます, そのオペレーターが “得る” 巨額. によると アバストリサーチ, サイバー犯罪者’ 財布は少なくとも保持します $ 24 ビットコインで百万, イーサリアム, とドージコイン.

すべての資金が盗まれたかどうかは不明です MyKings, しかし、この金額の少なくとも一部は、このボットネットを使用して確実に取得されました.

MyKingsは、近年最も分析されているボットネットの1つです。, また、その広範なインフラストラクチャと多数の機能により、研究者にとって特に興味深いものです。, ブートキットを含む, 鉱山労働者, スポイト, クリップボードのデータ盗難ソリューションなど.

のアナリスト アバスト Threat Labsは、収集したと言っています 6,700 分析用のユニークなMyKingsサンプル (の初めから 2020). 同じ時期に, アバスト製品は 144,000 このマルウェアのユーザー, 攻撃のほとんどはロシアで発生しました, インドとパキスタン.

MyKingsの動作は非常に簡単です: インストール後, マルウェアは、被害者がクリップボードにコピーしているものを追跡します. バッファ内でユーザーの暗号通貨ウォレットのアドレスを見つけた, マルウェアはそれをそのオペレーターのウォレットのアドレスに置き換えます. その後, 被害者がバッファから挿入したとき (彼が考えるように) 彼の暗号ウォレットの正しいアドレス, 彼は実際に犯罪者の住所を挿入しています’ 財布. こうして, 暗号通貨は攻撃者のポケットに送られます.

ボットネットは多くの暗号通貨ウォレットを使用しています, そのうちのいくつかは非常に価値が高い. アバストは、これらのウォレットの暗号通貨は主にクリップボードのアドレスのなりすましによって収集されたと報告しています, 鉱業だけでなく.

私も言ったことを思い出させてください BloodyStealerマルウェアがSteamを乗っ取る, Epic GamesStoreおよびEAOriginアカウント.