Считается, что операторы вредоносного ботнета MyKings заработали более 24,7 миллиона долларов с помощью того, что исследователи безопасности называют «угонщиком буфера обмена». Ботнет MyKings, впервые обнаруженный в 2016 году, стал одной из самых распространенных вредоносных операций за последние годы.

Этот ботнет, также известный как ботнет Smominru или DarkCloud, сканирует Интернет в поисках доступных в Интернете систем Windows или Linux, на которых установлено устаревшее программное обеспечение. Используя эксплойты для устранения незащищенных уязвимостей, банда MyKings заражает эти серверы, а затем перемещается по их сетям. В отчетах, опубликованных на протяжении многих лет компаниями Guardicore, Proofpoint, Qihoo 360, VMWare Carbon Black и Sophos, MyKings описывается как один из крупнейших вредоносных ботнетов, созданных за последнее десятилетие, при этом количество зараженных систем иногда превышает 500 000 взломанных систем.

В первые годы своего существования ботнет был известен прежде всего развертыванием скрытого майнера криптовалюты Monero на зараженных хостах с целью получения прибыли для операторов ботнета. В январе 2018 года в отчете компании Proofpoint прибыль группы оценивалась примерно в 3,6 миллиона долларов, исходя из количества Monero, которые они нашли в некоторых кошельках, которые они связали с группой. Но с годами деятельность группы MyKings и вредоносное ПО эволюционировали. Из простой операции взлома ботнет превратился в универсальный инструмент, со всевозможными модулями для перемещения по внутренним сетям, распространения и проведения различных атак.

В 2019 году Sophos заявила, что одним из обнаруженных ею новых модулей был «угонщик буфера обмена», который работал, наблюдая за буфером обмена зараженного компьютера, когда пользователи копировали (CTRL + C) или вырезали (CTRL + X) текстовую строку, которая выглядела как адрес криптовалюты. Когда пользователь делал вставку, угонщик буфера обмена MyKings вмешивался в операцию и заменял адрес пользователя на адрес, контролируемый операторами MyKings.

Еще в 2019 году Sophos заявила, что модуль не был успешным и широко распространенным, «никогда не получал больше нескольких долларов» и что кража криптовалюты путем взлома буфера обмена не выглядела «самой прибыльной операцией MyKings». Но в отчете, опубликованном на этой неделе, компания Avast сообщила, что с 2019 года MyKings, похоже, усовершенствовала этот модуль, который теперь может обнаруживать адреса для 20 различных криптовалют. Исследователи Avast заявили, что они проанализировали более 6700 образцов вредоносного ПО MyKings и идентифицировали и извлекли более 1300 адресов криптовалюты, используемых бандой для сбора средств.

В этих адресах исследователи заявили, что они нашли более 24,7 миллиона долларов в биткоинах, эфире и Dogecoin.

«Мы можем с уверенностью предположить, что эта сумма на самом деле больше, потому что состоит из денег, полученных только в трех криптовалютах из более чем 20, используемых во вредоносных программах», — сказали аналитики вредоносного ПО Avast Ян Рубин и Якуб Калоч.

Некоторые средства были связаны с прошлой деятельностью MyKings по добыче криптовалюты, но подавляющее большинство, похоже, поступило от угонщика буфера обмена, сказали они. Avast заявила, что с начала 2020 года ее антивирусное программное обеспечение обнаруживало и отмечало атаки вредоносного ПО MyKings на более чем 144000 компьютеров.

Новые результаты, опубликованные на этой неделе, полностью меняют взгляд аналитиков на этот ботнет. Благодаря способности выполнять крупномасштабные атаки с использованием эксплоитов, способу получения прибыли от их операций, большому количеству зараженных хостов и возможности загружать и запускать любую дополнительную полезную нагрузку, которую пожелают операторы MyKings, ботнет зарекомендовал себя как один из самых опасных на сегодняшний день.