Ботнет MyKings (он же Smominru или DarkCloud) все еще активно распространяется, зарабатывая огромные суммы денег в криптовалюте, спустя пять лет после того, как он впервые появился в мире.
MyKings является одним из наиболее анализируемых ботнетов в новейшей истории и особенно интересен исследователям благодаря своей обширной инфраструктуре и универсальным функциям, включая буткиты, майнеры, дропперы, кражи буфера обмена и многое другое.
Последняя группа исследователей, изучавших MyKings, - это лаборатория Avast Threat Labs, которая с начала 2020 года собрала 6700 уникальных образцов для анализа.
За тот же период Avast активно предотвратил более 144 000 атак MyKings на своих клиентов, большинство из которых находятся в России, Индии и Пакистане.
Тепловая карта жертв
Источник: Avast
Ботнет использует множество адресов криптовалютных кошельков, при этом остатки на некоторых из них довольно высоки. Avast считает, что криптовалюта этих кошельков была скоплена с помощью кражи буфера обмена и компонентов криптодобычи.
Прибыль, отраженная в адресах кошельков, связанных с MyKings, составляет примерно 24,7 миллиона долларов. Однако, поскольку ботнет использует в общей сложности более 20 криптовалют, эта сумма составляет лишь часть его общей финансовой выгоды.
Заработок по трем криптовалютам
Источник: Avast
Чтобы защитить жестко запрограммированное значение адреса кошелька от извлечения и анализа, вредоносная программа шифрует его с помощью простого шифра ROT. В целом, однако, в последних образцах не было замечено никаких заметных обновлений на этом фронте.
Новые приемы подстановки URL
Помимо подмены адреса кошелька, которая отклоняет транзакции, Avast также обнаружил новый метод монетизации, используемый операторами MyKings с игровой платформой Steam.Пострадавшие пользователи Steam жалуются на изменение ссылки для обмена
Источник: Avast
Последние версии вредоносного ПО также имеют новую систему манипулирования URL-адресами в модуле кражи буфера обмена, который злоумышленники создали для перехвата торговых транзакций Steam. Модуль изменяет URL-адрес торгового предложения, поэтому актер помещается на принимающую сторону, крадет ценные игровые предметы и т. Д.
Аналогичная функциональность была добавлена в облачный сервис Яндекс дискового хранилища, где MyKing манипулировал URL-адресами, отправляемыми пользователями своим знакомым.
Измененные ссылки указывают на адреса хранилищ Яндекса, содержащие архивы RAR или ZIP с названием «фотографии», которые доставляют на эти машины копии вредоносного ПО MyKings.
Архив поддельных фотографий с вредоносным ПО
Источник: Avast
В 2018 году MyKings стабильно росла: вредоносное ПО достигло 520 000 заражений и принесло своим операторам миллионы долларов.
Сегодня кажется, что ботнет вырос до новых размеров, но при этом ему удается оставаться скрытым и свободным от репрессий со стороны правоохранительных органов.
Последнее редактирование: