15/10/21
Ботнет MyKings (таке же известный как Smominru или DarkCloud) спустя пять лет после своего появления все еще активно распространяется, позволяя разработчикам зарабатывать огромные суммы денег в криптовалюте.
MyKings — ботнет, известный благодаря своей обширной инфраструктуре и универсальным функциям, включая буткиты, майнеры, загрузчики, похитители буфера обмена и пр. Ботнет использует большое количество адресов криптовалютных кошельков. Прибыль операторов ботнета MyKings с 2019 года составила примерно $24,7 млн.
Для защиты встроенного значения адреса кошелька от хищения и анализа операторы вредоноса шифруют его с помощью простого шифра ROT. Однако, в последних образцах не было замечено никаких заметных обновлений в данном функционале.
Специалисты из компании Avast обнаружили новую технику монетизации, применяемую операторами MyKings с использованием игровой платформы Steam. Последние версии вредоносного ПО также имеют новую систему манипулирования URL-адресами в модуле кражи буфера обмена, который злоумышленники создали для перехвата торговых транзакций Steam. Модуль изменяет URL-адрес торгового предложения, позволяя злоумышленнику красть ценные игровые предметы и пр.
Аналогичная функциональность была добавлена для облачного хранилища Яндекс, где MyKing манипулировал URL-адресами, отправляемыми пользователями своим знакомым. Измененные ссылки указывают на адреса хранилищ Яндекса, содержащие архивы RAR или ZIP с названием «Фотки», которые устанавливают на систему жертвы копии вредоносного ПО MyKings.
