【安全资讯】MyKings僵尸网络通过恶意活动积累2400万美元的加密货币

安恒威胁情报中心 2021-10-13 14:53:38 134人浏览

引言

MyKings又名Smominru 和 DarkCloud,是一个长期存在的僵尸网络,至少从 2016 年开始活跃。其庞大的基础设施由多个部分和模块组成,包括 bootkit、挖矿程序、dropper、剪贴板窃取器等。

 

简况

自2019年以来,MyKings背后的运营商的假币钱包中已经积累了至少 2400 万美元的加密货币。在查看交易并检查删除剪贴板窃取程序的安装程序的内容后,研究人员认为部分资金是通过加密矿工获得的。剪贴板窃取模块和加密矿工使用相同的钱包地址。比特币、以太坊和狗狗币钱包的货币收益直方图如下:

大多数攻击发生在俄罗斯、印度和巴基斯坦。2020 年 1 月 1 日至 2021 年 10 月 5 日期间目标国家的分布图如下:

研究人员将剪贴板窃取器和所有相关文件归因于MyKings的过程如下:

剪贴板窃取器的主要目的是检查剪贴板中的特定内容并在它匹配预定义的正则表达式时对其进行操作。用于检查剪贴板内容的大多数正则表达式将匹配一种特定加密货币的钱包格式,但也有正则表达式匹配 Yandex 文件存储、俄罗斯社交网络 VKontakte 或 Steam 的交易报价链接。为了避免多次执行,剪贴板窃取程序会在执行时检查互斥锁。互斥锁名称是通过检查启动它的操作系统版本动态创建的。

 

总结

MyKings自投入运营以来,在5年的时间内已积累2400万美元的加密货币,其基础设施庞大,功能完善,且仍在广泛传播并扩展其基础设施,因此是一种值得注意的威胁。

失陷指标(IOC)7
MyKings 僵尸网络Botnet 其他
    0条评论
    0
    0
    分享
    安恒威胁情报中心专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。