MyKings botnet stjäl kryptovaluta via urklipp
MyKings botnät (aka Smominru och DarkCloud) är fortfarande aktiv och stjäl kryptovaluta, medan dess operatörer “tjäna” enorma summor. Enligt Avast forskning, cyberkriminella’ plånböcker rymmer åtminstone $ 24 miljoner i Bitcoin, Ethereum, och Dogecoin.
Det är inte känt om alla medel stulits från MyKings, men åtminstone en del av detta belopp erhölls definitivt med hjälp av detta botnät.
MyKings är ett av de mest analyserade botnäten på senare år, och det är särskilt intressant för forskare på grund av dess omfattande infrastruktur och många funktioner, inklusive bootkits, gruvarbetare, droppare, lösningar för att stjäla data från urklipp och mycket mer.
Analytiker på Avast Threat Labs säger att de har samlat in 6,700 unika MyKings prover för analys (sedan början av 2020). Under samma period, Avast produkter skyddade mer än 144,000 användare från denna skadliga program, och de flesta av attackerna inträffade i Ryssland, Indien och Pakistan.
MyKings fungerar väldigt enkelt: efter installationen, skadlig programvara håller reda på vad offret kopierar till urklipp. Efter att ha hittat adressen till användarens cryptocurrency-plånbok i bufferten, skadlig programvara ersätter den med adressen till plånboken till sina operatörer. Efter det, när offret sätter in från bufferten (som han tror) den korrekta adressen till hans kryptoplånbok, han sätter faktiskt in brottslingarnas adress’ plånbok. Således, kryptovalutan skickas till angriparnas fickor.
Botnätet använder många kryptovaluta plånböcker, några av dem är ganska höga i värde. Avast rapporterar att kryptovalutan i dessa plånböcker främst samlades in genom att spoofa adresser i urklippet, samt gruvdrift.
Låt mig påminna dig om att jag också berättade det BloodyStealer -malware kapar Steam, Epic Games Store och EA Origin -konton.