Ботнет MyKings все еще активен и приносит огромные деньги

король


Ботнет MyKings (он же Smominru или DarkCloud) все еще активно распространяется, зарабатывая огромные суммы денег в криптовалюте, спустя пять лет после того, как он впервые появился в мире.

MyKings является одним из наиболее анализируемых ботнетов в новейшей истории и особенно интересен исследователям благодаря своей обширной инфраструктуре и универсальным функциям, включая буткиты, майнеры, дропперы, кражи буфера обмена и многое другое.
Последняя группа исследователей, изучавших MyKings, - это лаборатория Avast Threat Labs, которая с начала 2020 года собрала 6700 уникальных образцов для анализа.
За тот же период Avast активно предотвратил более 144 000 атак MyKings на своих клиентов, большинство из которых находятся в России, Индии и Пакистане.
Тепловая карта жертв
Тепловая карта жертв

Источник: Avast

Ботнет использует множество адресов криптовалютных кошельков, при этом остатки на некоторых из них довольно высоки. Avast считает, что криптовалюта этих кошельков была скоплена с помощью кражи буфера обмена и компонентов криптодобычи.

Прибыль, отраженная в адресах кошельков, связанных с MyKings, составляет примерно 24,7 миллиона долларов. Однако, поскольку ботнет использует в общей сложности более 20 криптовалют, эта сумма составляет лишь часть его общей финансовой выгоды.

Заработок по трем криптовалютам


Заработок по трем криптовалютам

Источник: Avast

Чтобы защитить жестко запрограммированное значение адреса кошелька от извлечения и анализа, вредоносная программа шифрует его с помощью простого шифра ROT. В целом, однако, в последних образцах не было замечено никаких заметных обновлений на этом фронте.

Новые приемы подстановки URL​

Помимо подмены адреса кошелька, которая отклоняет транзакции, Avast также обнаружил новый метод монетизации, используемый операторами MyKings с игровой платформой Steam.

Пострадавшие пользователи Steam жалуются на изменение ссылки для обмена


Пострадавшие пользователи Steam жалуются на изменение ссылки для обмена

Источник: Avast

Последние версии вредоносного ПО также имеют новую систему манипулирования URL-адресами в модуле кражи буфера обмена, который злоумышленники создали для перехвата торговых транзакций Steam. Модуль изменяет URL-адрес торгового предложения, поэтому актер помещается на принимающую сторону, крадет ценные игровые предметы и т. Д.

Аналогичная функциональность была добавлена в облачный сервис Яндекс дискового хранилища, где MyKing манипулировал URL-адресами, отправляемыми пользователями своим знакомым.

Измененные ссылки указывают на адреса хранилищ Яндекса, содержащие архивы RAR или ZIP с названием «фотографии», которые доставляют на эти машины копии вредоносного ПО MyKings.

Архив поддельных фотографий с доставкой вредоносного ПО


Архив поддельных фотографий с вредоносным ПО

Источник: Avast

В 2018 году MyKings стабильно росла: вредоносное ПО достигло 520 000 заражений и принесло своим операторам миллионы долларов.
Сегодня кажется, что ботнет вырос до новых размеров, но при этом ему удается оставаться скрытым и свободным от репрессий со стороны правоохранительных органов.
 
Последнее редактирование:
Сверху Снизу