根据调查,一个名为MyKings的恶意僵尸网络的团伙通过 “剪贴板劫持者”勒索了2470多万美元。
MyKings僵尸网络于2016年首次被发现,是近年来最为猖獗的恶意软件攻击之一。
MyKings僵尸网络也被称为Smominru或DarkCloud僵尸网络,通过扫描互联网寻找运行过时软件并暴露在互联网上的Windows或Linux系统。
MyKings团伙利用未打补丁的漏洞感染这些服务器,然后在他们的网络内横向移动。
根据Guardicore、Proofpoint、奇虎360、Carbon Black和Sophos多年来发布的调查报告,都将MyKings描述为过去十年中创建的最大的恶意僵尸网络之一,受感染的系统数量甚至超过50万个。
在最初的几年,僵尸网络主要以在受感染主机上部署隐藏的Monero加密货币挖矿而闻名,其目的是为运行僵尸网络的团队获取收益。
安全服务提供商Proofpoint公司在2018年1月发表的一份报告中估计,根据他们在与该团伙有关的一些钱包中发现的Monero基金,该团伙当时获得的收入约为360万美元。
这些年来,MyKings团伙的运作和恶意软件技术都有所发展。僵尸网络从一个简单的黑客工具变成了一把邪恶的“瑞士军刀”,它拥有各种模块,可以在内部网络中移动,像蠕虫一样传播,并执行各种网络攻击。
MyKings剪贴板劫持者的崛起
Sophos公司在2019年发现的一个新模块是一个“剪贴板劫持者”,当用户复制或剪切一个看起来像加密货币地址的文本字符串时,就会感染其计算机的剪贴板。
Sophos说,当用户粘贴字符串时,MyKings剪贴板劫持者篡改了粘贴操作,把用户的地址换成了MyKings团伙控制的地址。
Sophos早在2019年就指出,该模块并没有那么成功或被广泛使用,通过劫持剪贴板窃取加密货币并不是MyKings最赚钱的业务。
但安全服务商Avast公司在本周发布的一份报告中表示,自从2019年以来,MyKings似乎改进和完善了这个模块,现在可以检测20种不同加密货币的地址。
Avast公司研究人员表示,他们分析了6700多个MyKings恶意软件样本,识别并提取了该团伙用于筹集资金的1300多个加密货币地址。
研究人员表示,在这些地址中,他们发现了超过2470万美元的比特币、以太币和狗狗币。
Avast公司恶意软件分析师Jan Rubín和Jakub Kaloč表示:“我们认为这个数字实际上更高,因为这一数额只包括在恶意软件中使用的20多种加密货币的其中三种加密货币获得的收入。”
这两位分析师表示,获得一些资金与MyKings过去的加密货币挖矿活动有关,但绝大多数似乎来自剪贴板劫持者。
Avast公司表示,自从2020年初以来,其防病毒软件检测并标记了14.4万台计算机上的MyKings恶意软件攻击,但其攻击的数量可能要高得多。
日前公布的调查报告彻底改变了恶意软件分析师对这一僵尸网络的看法。由于能够进行大规模的攻击,并且从这些操作中获利,大量受感染的主机可以下载并运行MyKings团伙希望的额外负载,因此僵尸网络已经成为当今最危险的恶意软件操作之一。