MyKings botnet operatörleri şimdiden en az 24 milyon dolar biriktirdi

MyKings botneti (diğer adıyla Smominru veya DarkCloud) hâlâ canlı ve yayılmaya devam ediyor ve operatörlerinin büyük miktarlarda para kazanmalarına olanak tanıyor.​

Avast Threat Labs araştırmacıları, MyKings botnet'in (aka Smominru veya DarkCloud) hala hayatta olduğunu ve operatörlerinin kripto madenciliği faaliyetleri yoluyla büyük miktarlarda para kazanmalarına izin verdiğini bildirdi. Avast araştırmacıları, 2019'dan beri MyKings operatörlerinin Bitcoin, Ethereum ve Dogecoin'de en az 24 milyon dolar biriktirdiğini bildirdi. Ancak uzmanlar, botnet'in toplamda 20'den fazla kripto para kullandığını, bu nedenle toplam finansal kazancın 24 milyon dolardan fazla olabileceğine dikkat çekti.


“Pano hırsızının asıl amacı oldukça basittir: Panoyu belirli içerik için kontrol etmek ve önceden tanımlanmış normal ifadelerle eşleşmesi durumunda değiştirmek. Bu kötü amaçlı yazılım, kullanıcıların kopyaladıklarından farklı değerler yapıştırmayı beklemedikleri gerçeğine güvenir. Birinin tamamen farklı bir şeyi (örneğin bir hesap numarası yerine bir metin) kopyalayıp yapıştırmayı unuttuğunu fark etmek kolaydır, ancak uzun bir rastgele sayı ve harf dizisinin çok benzer görünen bir dizeye dönüştüğünü fark etmek özellikle dikkat gerektirir. , kripto cüzdan adresleri gibi.” analizi okuruzmanı tarafından yayınlandı. “Bu takas işlemi OpenClipboard, EmptyClipboard, SetClipboardData ve CloseClipboard işlevleri kullanılarak yapılır. Bu işlevsellik oldukça basit olsa da, saldırganların bu kadar basit bir yöntemle 24.700.000 doların üzerinde kazanç elde edebilmesi endişe verici.”

.Bir kötü amaçlı yazılım ilk edildi benekli bot EternalBlue, Windows bilgisayarlara bulaştırmak ve Monero cryptocurrency madencilik faaliyetlerinde bunları işe istismar kullanıyordum Proofpoint gelen araştırmacılar tarafından Şubat 2018 yılında. Araştırmacılara göre, Smominru botnet en azından 2016'dan beri aktif durumda ve keşfedildiği sırada 526.000'den fazla Windows bilgisayarına bulaştı.

Avast araştırmacıları, 2020'nin başından bu yana botun 6.700 benzersiz örneğini analiz etti ve 144.000'den fazla Avast müşterisini MyKings botnet aracılığıyla başlatılan saldırılardan koruduğunu iddia etti. Enfeksiyonların çoğu Rusya, Hindistan ve Pakistan'da gözlendi.






Bot yazarlarının kullandığı savunma mekanizmalarından biri de kampanyada kullanılan kripto cüzdanların adreslerini gizlemek.

“Hızlı analize ve normal ifadelerle statik ayıklamaya karşı koruma için, ikame değerler şifrelenir. Kullanılan şifreleme, anahtarın -1 olarak ayarlandığı çok basit bir ROT şifresidir.” analizine devam eder.

Avast araştırmacıları ayrıca botnet operatörlerinin Steam ticaret sahtekarlıkları yoluyla da para kazandığını keşfetti.

“Bu tür bir ifadenin Steam takas teklif bağlantılarıyla eşleşmesi gerekiyor. Steam platformundaki kullanıcılar, envanterlerinden diğer kullanıcılarla genellikle oyun içi öğeleri takas etmek için takas teklifleri oluşturabilir. Ticareti yapılabilen eşyaların değeri sadece birkaç sentten başlıyor, ancak en pahalı ürünler yüzlerce hatta binlerce dolara satılıyor.” raporuna devam ediyor. "Pano hırsızı, takas teklifi URL'sini manipüle ediyor ve alıcı tarafı değiştiriyor, böylece Steam kullanıcıları ürünlerini tamamen bilinmeyen birine gönderiyor."

AVAST tarafından yayınlanan raporda ayrıca Uzlaşma Göstergeleri (IoC) de yer alıyor.