Вважається, що оператори шкідливого ботнету mykings заробили понад 24,7 мільйона доларів за допомогою того, що дослідники безпеки називають «викрадачем буфера обміну». Ботнет mykings, вперше виявлений в 2016 році, став однією з найпоширеніших шкідливих операцій за останні роки.

Цей ботнет, також відомий як ботнет smominru або darkcloud, сканує інтернет у пошуках доступних в інтернеті систем windows або linux, на яких встановлено застаріле програмне забезпечення. Використовуючи експлойти для усунення незахищених вразливостей, банда mykings заражає ці сервери, а потім переміщається по їх мережам. У звітах, опублікованих протягом багатьох років компаніями guardicore, proofpoint, qihoo 360, vmware carbon black і sophos, mykings описується як один з найбільших шкідливих ботнетів, створених за останнє десятиліття, при цьому кількість заражених систем іноді перевищує 500 000 зламаних систем.

У перші роки свого існування ботнет був відомий насамперед розгортанням прихованого майнера криптовалюти monero на заражених хостах з метою отримання прибутку для операторів ботнету. У січні 2018 року в звіті компанії proofpoint прибуток групи оцінювався приблизно в 3,6 мільйона доларів, виходячи з кількості monero, які вони знайшли в деяких гаманцях, які вони пов’язали з групою. Але з роками діяльність групи mykings і шкідливе пз еволюціонували. З простої операції злому ботнет перетворився в універсальний інструмент, зі всілякими модулями для переміщення по внутрішніх мережах, поширення і проведення різних атак.

В 2019 році sophos заявила, що одним з виявлених нею нових модулів був «викрадач буфера обміну», який працював, спостерігаючи за буфером обміну зараженого комп’ютера, коли користувачі копіювали (ctrl + c) або вирізали (ctrl + x) текстовий рядок, яка виглядала як адреса кріптовалюти. Коли користувач робив вставку, викрадач буфера обміну mykings втручався в операцію і заміняв адресу користувача на адресу, контрольовану операторами mykings.

Ще в 2019 році sophos заявила, що модуль не був успішним і широко поширеним, «ніколи не отримував більше декількох доларів» і що крадіжка криптовалюти шляхом злому буфера обміну не виглядала «найприбутковішою операцією mykings». Але в звіті, опублікованому на цьому тижні, компанія avast повідомила, що з 2019 року mykings, схоже, вдосконалила цей модуль, який тепер може виявляти адреси для 20 різних криптовалют. Дослідники avast заявили, що вони проаналізували понад 6700 зразків шкідливого пз mykings і ідентифікували і витягли більше 1300 адрес криптовалюта, використовуваних бандою для збору коштів.

У цих адресах дослідники заявили, що вони знайшли більше 24,7 мільйона доларів в біткоіни, ефірі і dogecoin.

«ми можемо з упевненістю припустити, що ця сума насправді більше, тому що складається з грошей, отриманих тільки в трьох криптовалюта з більш ніж 20, використовуваних у шкідливих програмах», — сказали аналітики шкідливого по avast ян рубін і якуб калоч.

Деякі засоби були пов’язані з минулою діяльністю mykings з видобутку криптовалюти, але переважна більшість, схоже, надійшла від викрадача буфера обміну, сказали вони. Avast заявила, що з початку 2020 року її антивірусне програмне забезпечення виявило і відзначало атаки шкідливого пз mykings на більш ніж 144000 комп’ютерів.

Нові результати, опубліковані на цьому тижні, повністю змінюють погляд аналітиків на цей ботнет. Завдяки здатності виконувати великомасштабні атаки з використанням експлоїтів, способу отримання прибутку від їх операцій, великій кількості заражених хостів і можливості завантажувати і запускати будь-яку додаткову корисну навантаження, яку побажають оператори mykings, ботнет зарекомендував себе як один з найнебезпечніших на сьогоднішній день.