Deze malware-botnetbende heeft miljoenen gestolen met een verrassend eenvoudige truc

0
92

Liam Tung

Door Liam Tung | 15 oktober 2021 | Onderwerp: Beveiliging

Dit is wat er gebeurt als je wordt getroffen door een ransomware-aanval Bekijk nu

Het langlopende botnet dat bekend staat als MyKings is nog steeds in bedrijf en heeft ten minste $ 24,7 miljoen binnengehaald door zijn netwerk van gecompromitteerde computers te gebruiken om te minen voor cryptovaluta.

MyKings, ook bekend als Smominru en Hexmen, is 's werelds grootste botnet dat zich toelegt op het delven van cryptocurrencies door de desktop- en server-CPU's van de slachtoffers te ontwijken. Het is een lucratieve onderneming die in 2017 aandacht kreeg na het infecteren van meer dan een half miljoen Windows-computers om in een maand ongeveer $ 2,3 miljoen aan Monero te delven.

Beveiligingsbedrijf Avast heeft nu bevestigd dat zijn operators ten minste $ 24,7 miljoen hebben verworven in verschillende cryptocurrencies die zijn overgezet naar Bitcoin-, Ethereum- en Dogecoin-accounts.

ZIE: Deze nieuwe ransomware versleutelt je gegevens en maakt ook enkele vervelende bedreigingen

Het beweert echter dat de groep dit grotendeels heeft gedaan via zijn 'klembord-stealer-module'. Wanneer het detecteert dat iemand een cryptocurrency-portemonnee-adres heeft gekopieerd (bijvoorbeeld om een ​​betaling uit te voeren), ruilt deze module vervolgens in een ander cryptocurrency-adres dat wordt beheerd door de bende.

Avast beweert sinds begin 2020 de MyKings-klembord-stealer van 144.000 computers te hebben geblokkeerd: de klembord-stealer-module bestaat sinds 2018. 

Uit onderzoek van beveiligingsbedrijf Sophos bleek dat de klembord-stealer, een trojan, pc's controleert op het gebruik van verschillende formaten muntportefeuilles. Het werkt omdat mensen vaak de kopieer-/plakfunctie gebruiken om relatief lange portemonnee-ID's in te voegen bij het openen van een account.

“Deze methode is gebaseerd op de praktijk dat de meeste (zo niet alle) mensen de lange portemonnee-ID's niet typen, maar deze ergens opslaan en het klembord gebruiken om het te kopiëren wanneer ze het nodig hebben”, merkt Sophos op. in een rapport.

“Dus, wanneer ze een betaling naar een portemonnee zouden starten en het adres naar het klembord zouden kopiëren, vervangt de Trojan deze snel door de eigen portemonnee van de criminelen en wordt de betaling omgeleid naar hun account.”

Sophos merkte echter ook op dat de muntadressen die het identificeerde “niet meer dan een paar dollar hadden ontvangen”, wat suggereert dat het stelen van munten een klein onderdeel was van de MyKings-activiteiten.

De cryptomining-kant van het bedrijf deed het goed in 2019, en Sophos schatte dat het in oktober 2019 ongeveer $ 10.000 per maand verdiende.    

Verwante onderwerpen:

Security TV Gegevensbeheer CXO-datacenters Liam Tung

Door Liam Tung | 15 oktober 2021 | Onderwerp: Beveiliging