10月14日，Avast Threat Labs研究人員報(bào)告稱，MyKings 僵尸網(wǎng)絡(luò)(又名 Smominru 或 DarkCloud)仍然存活，其運(yùn)營者通過加密挖礦攫取了2400萬美元的巨額資金。

自2019年以來，MyKings運(yùn)營者在比特幣、以太坊和狗狗幣等20多種加密貨幣上攫取了至少2400萬美元。

?[[429243]]?

專家分析指出：“MyKings的原理很簡(jiǎn)單，利用剪貼板的漏洞。檢查剪貼板中的特定內(nèi)容，一旦匹配到預(yù)定義的正則表達(dá)式(例如數(shù)字虛擬貨幣交易鏈接)時(shí)，惡意軟件就替換收款錢包地址。

該惡意軟件建立在用戶默認(rèn)粘貼的內(nèi)容與復(fù)制的內(nèi)容相同。 即便某人忘了復(fù)制的內(nèi)容，而粘貼的內(nèi)容與之又完全不同，該場(chǎng)景下通常很容易察覺到(例如復(fù)制粘貼的內(nèi)容是文本而不是帳號(hào))，但一長(zhǎng)串隨機(jī)數(shù)字和字母與一個(gè)非常相似的字符串之間的變化，則需要特別細(xì)心地留意，例如加密錢包地址。MyKings利用 OpenClipboard、EmptyClipboard、SetClipboardData 和 CloseClipboard 函數(shù)完成的挖礦。 盡管功能非常簡(jiǎn)單，但黑客們用這種簡(jiǎn)單的方法可能已經(jīng)攫取了超過 2470萬 美元。”

該惡意軟件于2018年2月首次被 Proofpoint研究人員發(fā)現(xiàn)，當(dāng)時(shí)僵尸程序正使用“永恒之藍(lán)”(EternalBlue)漏洞來感染W(wǎng)indows計(jì)算機(jī)，控制被感染的計(jì)算機(jī)進(jìn)行門羅幣挖礦活動(dòng)。研究人員稱，該僵尸網(wǎng)絡(luò)自2016 年開始活躍，在發(fā)現(xiàn)時(shí)感染了超過52.6萬臺(tái) Windows 計(jì)算機(jī)。

自 2020 年初以來，Avast 研究人員分析了該僵尸程序的 6700 個(gè)特有樣本，并聲稱已保護(hù)了超過14.4萬名Avast客戶免受由MyKings僵尸網(wǎng)絡(luò)發(fā)起的攻擊。大多數(shù)被感染主機(jī)在俄羅斯、印度和巴基斯坦。

僵尸程序的作者使用的防御機(jī)制之一是隱藏挖礦中使用的加密錢包地址。

Avast 研究人員還發(fā)現(xiàn)，僵尸網(wǎng)絡(luò)運(yùn)營者也通過 Steam交易欺詐獲利。

“正則表達(dá)式應(yīng)該會(huì)與 Steam 交易報(bào)價(jià)鏈接相匹配。 Steam 平臺(tái)上的用戶可以創(chuàng)建交易報(bào)價(jià)，與其他用戶交易的通常是他們庫存中的游戲物品?？山灰孜锲返钠饍r(jià)僅為幾美分，但最貴的物品卻要賣幾百或幾千美元?！糍N板大盜’程序會(huì)操縱交易報(bào)價(jià)的URL，修改交易的接收者，因此 Steam 用戶把他們的物品發(fā)送給完全不認(rèn)識(shí)的人?！?/p>