MyKings-botnet steelt cryptocurrency via klembord
Het MyKings-botnet (ook bekend als Smominru en DarkCloud) is nog steeds actief en steelt cryptocurrency, terwijl zijn operators “verdienen” enorme bedragen. Volgens Avast-onderzoek, cybercriminelen’ portemonnees houden tenminste $ 24 miljoen in Bitcoin, Ethereum, en Dogecoin.
Het is niet bekend of al het geld is gestolen van Mijn Koningen, maar ten minste een deel van dit bedrag is zeker verkregen met behulp van dit botnet.
MyKings is een van de meest geanalyseerde botnets van de afgelopen jaren, en het is vooral interessant voor onderzoekers vanwege de uitgebreide infrastructuur en talrijke functies, inclusief bootkits, mijnwerkers, druppelaars, oplossingen voor het stelen van klembordgegevens en nog veel meer.
analisten bij Avast Threat Labs zeggen dat ze meer dan 6,700 unieke MyKings-monsters voor analyse (sinds het begin van 2020). Gedurende dezelfde periode, Avast-producten beschermden meer dan 144,000 gebruikers van deze malware, en de meeste aanvallen vonden plaats in Rusland, India en Pakistan.
De manier waarop MyKings werkt is heel eenvoudig: na installatie, de malware houdt bij wat het slachtoffer naar het klembord kopieert. Het adres van de cryptocurrency-portemonnee van de gebruiker in de buffer hebben gevonden, de malware vervangt het door het adres van de portemonnee van zijn operators. Daarna, wanneer het slachtoffer uit de buffer komt (zoals hij denkt) het juiste adres van zijn crypto-portemonnee, hij voert eigenlijk het adres van de criminelen in’ portemonnee. Dus, de cryptocurrency wordt naar de zakken van de aanvallers gestuurd.
Het botnet gebruikt veel cryptocurrency-wallets, waarvan sommige vrij hoog in waarde zijn. Avast meldt dat de cryptocurrency in deze portefeuilles voornamelijk is verzameld door adressen in het klembord te vervalsen, evenals mijnbouw.
Laat me je eraan herinneren dat ik dat ook heb verteld BloodyStealer-malware kaapt Steam, Epic Games Store en EA Origin-accounts.