MyKings botnet stjäl kryptovaluta via urklipp

Helga Smithoktober 20, 2021Senast uppdaterad: oktober 24, 2021
25 1 läst minut

MyKings botnät (aka Smominru och DarkCloud) är fortfarande aktiv och stjäl kryptovaluta, medan dess operatörer “tjäna” enorma summor. Enligt Avast forskning, cyberkriminella’ plånböcker rymmer åtminstone $ 24 miljoner i Bitcoin, Ethereum, och Dogecoin.

Det är inte känt om alla medel stulits från MyKings, men åtminstone en del av detta belopp erhölls definitivt med hjälp av detta botnät.

MyKings är ett av de mest analyserade botnäten på senare år, och det är särskilt intressant för forskare på grund av dess omfattande infrastruktur och många funktioner, inklusive bootkits, gruvarbetare, droppare, lösningar för att stjäla data från urklipp och mycket mer.

Analytiker på Avast Threat Labs säger att de har samlat in 6,700 unika MyKings prover för analys (sedan början av 2020). Under samma period, Avast produkter skyddade mer än 144,000 användare från denna skadliga program, och de flesta av attackerna inträffade i Ryssland, Indien och Pakistan.

Avast statistik

MyKings fungerar väldigt enkelt: efter installationen, skadlig programvara håller reda på vad offret kopierar till urklipp. Efter att ha hittat adressen till användarens cryptocurrency-plånbok i bufferten, skadlig programvara ersätter den med adressen till plånboken till sina operatörer. Efter det, när offret sätter in från bufferten (som han tror) den korrekta adressen till hans kryptoplånbok, han sätter faktiskt in brottslingarnas adress’ plånbok. Således, kryptovalutan skickas till angriparnas fickor.

Detta är ett enkelt men väldigt effektivt knep: hackare litar på att användarna inte märker att ett långt och komplext kontonummer har ändrats.säger Avast-experterna.

Botnätet använder många kryptovaluta plånböcker, några av dem är ganska höga i värde. Avast rapporterar att kryptovalutan i dessa plånböcker främst samlades in genom att spoofa adresser i urklippet, samt gruvdrift.

MyKings

Det rapporteras också att Avast-experter har upptäckt en ny intäktsgenereringsmetod som används av MyKings-operatörer – genom Ånga spelplattform. Senaste versioner av skadlig programvara har ett nytt system för att manipulera webbadresser i modulen för att stjäla data från urklipp. Detta system är utformat för att fånga upp URL: en för Steam -handelstransaktioner. Modulen ersätter adressen till handelserbjudandet, och därför blir hackaren den mottagande parten i transaktionen, som så småningom stjäl användarens värdefulla spelobjekt.

Låt mig påminna dig om att jag också berättade det BloodyStealer -malware kapar Steam, Epic Games Store och EA Origin -konton.

Taggar
Helga Smithoktober 20, 2021Senast uppdaterad: oktober 24, 2021
25 1 läst minut

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen