10月14日,Avast Threat Labs研究人员报告说,MyKings 僵尸网络(又称 Smominru 或 DarkCloud)它的运营商通过加密挖矿获得了2400万美元的巨额资金。
自2019年以来,MyKings在比特币、以太坊加密货币中获得至少2400万美元,如比特币、以太坊和狗币。
专家分析指出:“MyKings原理很简单,利用剪贴板的漏洞。检查剪贴板中的具体内容。一旦与预定义的正则表达式(如数字虚拟货币交易链接)相匹配,恶意软件将更换收款钱包地址。
恶意软件基于用户默认粘贴的内容与复制的内容相同。 即使有人忘记复制内容,粘贴内容完全不同,通常很容易检测到(如复制粘贴内容是文本而不是账户),但随机数字和字母与字符串之间的变化需要特别注意,如加密钱包地址。MyKings利用 OpenClipboard、EmptyClipboard、SetClipboardData 和 CloseClipboard 函数完成的挖矿。 尽管功能非常简单,但黑客们用这种简单的方法可能已经攫取了超过 2470万 美元。”
2018年2月,恶意软件首次遭到 Proofpoint研究人员发现僵尸程序正在使用“永恒之蓝”(EternalBlue)漏洞来感染Windows计算机控制被感染的计算机进行门罗币挖掘活动。研究人员表示,僵尸网络自2016年以来一直活跃,发现时感染超过52.6万台 Windows 计算机。
2020年初以来,Avast 研究人员对僵尸程序 6700 的独特样本进行了分析,并声称保护了超过14.4万名Avast客户免受由MyKings僵尸网络发起的攻击。俄罗斯、印度和巴基斯坦大部分感染主机。
僵尸程序作者使用的防御机制之一是隐藏采矿中使用的加密钱包地址。
Avast 研究人员还发现,僵尸网络运营商也通过 Steam交易欺诈获利。
“正则表达式应该是 Steam 交易报价链接匹配。Steam 平台上的用户可以创建交易报价,通常与其他用户交易的是他们库存中的游戏项目。可交易项目的起价只有几美分,但最昂贵的项目要卖几百或几千美元。‘剪贴板大盗’程序将操纵交易报价URL,因此 Steam 用户向完全不认识的人发送他们的物品。”