Ботнет MyKings все еще активен и приносит огромные деньги

19
Правительства превращают банду программ-вымогателей REvil в офлайн

Ботнет MyKings (он же Smominru или DarkCloud) все еще активно распространяется, зарабатывая огромные суммы денег в криптовалюте, спустя пять лет после того, как он впервые появился в мире.

MyKings — один из наиболее анализируемых ботнетов в новейшей истории, особенно интересен для исследователей благодаря своей обширной инфраструктуре и универсальным функциям, включая буткиты, майнеры, дропперы, кражи буфера обмена и многое другое.

Последняя группа исследователей, изучавших MyKings, — это лаборатория Avast Threat Labs, которая с начала 2020 года собрала 6700 уникальных образцов для анализа.

За тот же период Avast активно предотвратил более 144 000 атак MyKings на своих клиентов, большинство из которых находятся в России, Индии и Пакистане.

Ботнет использует множество адресов криптовалютных кошельков, при этом остатки на некоторых из них довольно высоки. Avast считает, что криптовалюта этих кошельков была скоплена с помощью кражи буфера обмена и компонентов криптодобычи.

Прибыль, отраженная в адресах кошельков, связанных с MyKings, составляет примерно 24,7 миллиона долларов. Однако, поскольку ботнет использует в общей сложности более 20 криптовалют, эта сумма составляет лишь часть его общей финансовой прибыли.

Чтобы защитить жестко запрограммированное значение адреса кошелька от извлечения и анализа, вредоносная программа шифрует его с помощью простого шифра ROT. В целом, однако, в последних образцах не было замечено никаких заметных обновлений на этом фронте.

Новые приемы подстановки URL

Помимо подмены адреса кошелька, которая перенаправляет транзакции, Avast также обнаружил новый метод монетизации, используемый операторами MyKings с использованием игровой платформы Steam.

Последние версии вредоносного ПО также имеют новую систему манипулирования URL-адресами в модуле кражи буфера обмена, который злоумышленники создали для перехвата торговых транзакций Steam. Модуль изменяет URL-адрес торгового предложения, поэтому актер помещается на принимающую сторону, крадет ценные игровые предметы и т. Д.

Аналогичная функциональность была добавлена ​​для облачного сервиса Яндекс дискового хранилища, где MyKing манипулировал URL-адресами, отправляемыми пользователями своим знакомым.

Измененные ссылки указывают на адреса хранилищ Яндекса, содержащие архивы RAR или ZIP с названием «фотографии», которые доставляют на эти машины копии вредоносного ПО MyKings.

В 2018 году MyKings стабильно росла: вредоносное ПО достигло 520 000 заражений и принесло своим операторам миллионы долларов.

Сегодня кажется, что ботнет вырос до новых размеров, но при этом ему удается оставаться скрытым и свободным от репрессий со стороны правоохранительных органов.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here