I ricercatori di malware ritengono che questa botnet abbia guadagnato milioni sfruttando una facile scorciatoia presa da molti
La botnet di lunga data nota come MyKings è ancora in attività e ha incassato almeno $ 24,7 milioni utilizzando la sua rete di computer compromessi per estrarre criptovalute.
MyKings, noto anche come Smominru e Hexmen, è la più grande botnet al mondo dedicata al mining di criptovalute, sfruttando le CPU desktop e server delle vittime. È un'attività redditizia che ha attirato l'attenzione nel 2017 dopo aver infettato più di mezzo milione di computer Windows per estrarre circa 2,3 milioni di dollari di Monero in un mese.
La società di sicurezza Avast ha ora confermato che i suoi operatori hanno acquisito almeno $ 24,7 milioni in varie criptovalute che sono state trasferite su conti Bitcoin, Ethereum e Dogecoin.
Sostiene, tuttavia, che il gruppo ha realizzato la maggior parte di questo attraverso il suo "modulo ladro di appunti". Quando rileva che qualcuno ha copiato l'indirizzo di un portafoglio di criptovaluta (ad esempio per effettuare un pagamento), questo modulo scambia quindi un indirizzo di criptovaluta diverso controllato dalla banda.
Avast afferma di aver bloccato il ladro di appunti di MyKings da 144.000 computer dall'inizio del 2020: il modulo di sottrazione di appunti esiste dal 2018.
La ricerca della società di sicurezza Sophos ha scoperto che il ladro di appunti, un trojan, monitora i PC per l'uso di vari formati di portafogli di monete. Funziona perché le persone usano spesso la funzione copia/incolla per inserire ID portafoglio relativamente lunghi quando accedono a un account.
"Questo metodo si basa sulla pratica secondo cui la maggior parte (se non tutte) le persone non digitano gli ID lunghi del portafoglio, piuttosto li memorizzano da qualche parte e utilizzano gli appunti per copiarli quando ne hanno bisogno", osserva Sophos in un rapporto .
"Così, quando avviano un pagamento su un portafoglio e copiano l'indirizzo negli appunti, il Trojan lo sostituisce rapidamente con il portafoglio dei criminali e il pagamento viene deviato sul loro account".
Tuttavia, Sophos ha anche notato che gli indirizzi delle monete identificati "non avevano ricevuto più di pochi dollari", suggerendo che il furto di monete fosse una parte minore del business di MyKings.
Il lato del business del mining di criptovalute stava andando bene nel 2019, con Sophos che stimava di aver guadagnato circa $ 10.000 al mese nell'ottobre 2019.
Avast ora sostiene che MyKings sta guadagnando molti più soldi dal trojan negli appunti dopo aver ampliato i 49 indirizzi di monete identificati nella ricerca di Sophos a più di 1.300 indirizzi di monete. Avast suggerisce che il ruolo del ladro di appunti potrebbe essere molto più grande di quanto scoperto da Sophos.
"Questo malware conta sul fatto che gli utenti non si aspettano di incollare valori diversi da quello che hanno copiato", spiegano i ricercatori di Avast in un rapporto .
"È facile notare quando qualcuno dimentica di copiare e incollare qualcosa di completamente diverso (ad esempio un testo invece di un numero di conto), ma occorre prestare particolare attenzione nel notare il cambiamento di una lunga stringa di numeri e lettere casuali in un aspetto molto simile stringa, come gli indirizzi di cryptowallet.
"Questo processo di scambio viene eseguito utilizzando le funzioni OpenClipboard, EmptyClipboard, SetClipboardData e CloseClipboard. Anche se questa funzionalità è abbastanza semplice, è preoccupante che gli aggressori possano aver guadagnato oltre $ 24.700.000 utilizzando un metodo così semplice."
Alcune prove circostanziali a sostegno della teoria che il ladro di appunti sia effettivamente efficace includono commenti di persone su Etherscan che hanno affermato di aver trasferito accidentalmente somme su conti inclusi nella ricerca di Avast.
"Consigliamo vivamente alle persone di ricontrollare sempre i dettagli della transazione prima di inviare denaro", osserva Avast.
La botnet di lunga data nota come MyKings è ancora in attività e ha incassato almeno $ 24,7 milioni utilizzando la sua rete di computer compromessi per estrarre criptovalute.
MyKings, noto anche come Smominru e Hexmen, è la più grande botnet al mondo dedicata al mining di criptovalute, sfruttando le CPU desktop e server delle vittime. È un'attività redditizia che ha attirato l'attenzione nel 2017 dopo aver infettato più di mezzo milione di computer Windows per estrarre circa 2,3 milioni di dollari di Monero in un mese.
La società di sicurezza Avast ha ora confermato che i suoi operatori hanno acquisito almeno $ 24,7 milioni in varie criptovalute che sono state trasferite su conti Bitcoin, Ethereum e Dogecoin.
Sostiene, tuttavia, che il gruppo ha realizzato la maggior parte di questo attraverso il suo "modulo ladro di appunti". Quando rileva che qualcuno ha copiato l'indirizzo di un portafoglio di criptovaluta (ad esempio per effettuare un pagamento), questo modulo scambia quindi un indirizzo di criptovaluta diverso controllato dalla banda.
Avast afferma di aver bloccato il ladro di appunti di MyKings da 144.000 computer dall'inizio del 2020: il modulo di sottrazione di appunti esiste dal 2018.
La ricerca della società di sicurezza Sophos ha scoperto che il ladro di appunti, un trojan, monitora i PC per l'uso di vari formati di portafogli di monete. Funziona perché le persone usano spesso la funzione copia/incolla per inserire ID portafoglio relativamente lunghi quando accedono a un account.
"Questo metodo si basa sulla pratica secondo cui la maggior parte (se non tutte) le persone non digitano gli ID lunghi del portafoglio, piuttosto li memorizzano da qualche parte e utilizzano gli appunti per copiarli quando ne hanno bisogno", osserva Sophos in un rapporto .
"Così, quando avviano un pagamento su un portafoglio e copiano l'indirizzo negli appunti, il Trojan lo sostituisce rapidamente con il portafoglio dei criminali e il pagamento viene deviato sul loro account".
Tuttavia, Sophos ha anche notato che gli indirizzi delle monete identificati "non avevano ricevuto più di pochi dollari", suggerendo che il furto di monete fosse una parte minore del business di MyKings.
Il lato del business del mining di criptovalute stava andando bene nel 2019, con Sophos che stimava di aver guadagnato circa $ 10.000 al mese nell'ottobre 2019.
Avast ora sostiene che MyKings sta guadagnando molti più soldi dal trojan negli appunti dopo aver ampliato i 49 indirizzi di monete identificati nella ricerca di Sophos a più di 1.300 indirizzi di monete. Avast suggerisce che il ruolo del ladro di appunti potrebbe essere molto più grande di quanto scoperto da Sophos.
"Questo malware conta sul fatto che gli utenti non si aspettano di incollare valori diversi da quello che hanno copiato", spiegano i ricercatori di Avast in un rapporto .
"È facile notare quando qualcuno dimentica di copiare e incollare qualcosa di completamente diverso (ad esempio un testo invece di un numero di conto), ma occorre prestare particolare attenzione nel notare il cambiamento di una lunga stringa di numeri e lettere casuali in un aspetto molto simile stringa, come gli indirizzi di cryptowallet.
"Questo processo di scambio viene eseguito utilizzando le funzioni OpenClipboard, EmptyClipboard, SetClipboardData e CloseClipboard. Anche se questa funzionalità è abbastanza semplice, è preoccupante che gli aggressori possano aver guadagnato oltre $ 24.700.000 utilizzando un metodo così semplice."
Alcune prove circostanziali a sostegno della teoria che il ladro di appunti sia effettivamente efficace includono commenti di persone su Etherscan che hanno affermato di aver trasferito accidentalmente somme su conti inclusi nella ricerca di Avast.
"Consigliamo vivamente alle persone di ricontrollare sempre i dettagli della transazione prima di inviare denaro", osserva Avast.
Commenti
Posta un commento