10月14日，Avast Threat Labs研究人員報告稱，MyKings 僵尸網(wǎng)絡(luò)(又名 Smominru 或 DarkCloud)仍然存活，其運營者通過加密挖礦攫取了2400萬美元的巨額資金。

自2019年以來，MyKings運營者在比特幣、以太坊和狗狗幣等20多種加密貨幣上攫取了至少2400萬美元。

?[[429243]]?

專家分析指出：“MyKings的原理很簡單，利用剪貼板的漏洞。檢查剪貼板中的特定內(nèi)容，一旦匹配到預(yù)定義的正則表達式(例如數(shù)字虛擬貨幣交易鏈接)時，惡意軟件就替換收款錢包地址。

該惡意軟件建立在用戶默認粘貼的內(nèi)容與復(fù)制的內(nèi)容相同。 即便某人忘了復(fù)制的內(nèi)容，而粘貼的內(nèi)容與之又完全不同，該場景下通常很容易察覺到(例如復(fù)制粘貼的內(nèi)容是文本而不是帳號)，但一長串隨機數(shù)字和字母與一個非常相似的字符串之間的變化，則需要特別細心地留意，例如加密錢包地址。MyKings利用 OpenClipboard、EmptyClipboard、SetClipboardData 和 CloseClipboard 函數(shù)完成的挖礦。 盡管功能非常簡單，但黑客們用這種簡單的方法可能已經(jīng)攫取了超過 2470萬 美元。”

該惡意軟件于2018年2月首次被 Proofpoint研究人員發(fā)現(xiàn)，當時僵尸程序正使用“永恒之藍”(EternalBlue)漏洞來感染W(wǎng)indows計算機，控制被感染的計算機進行門羅幣挖礦活動。研究人員稱，該僵尸網(wǎng)絡(luò)自2016 年開始活躍，在發(fā)現(xiàn)時感染了超過52.6萬臺 Windows 計算機。

自 2020 年初以來，Avast 研究人員分析了該僵尸程序的 6700 個特有樣本，并聲稱已保護了超過14.4萬名Avast客戶免受由MyKings僵尸網(wǎng)絡(luò)發(fā)起的攻擊。大多數(shù)被感染主機在俄羅斯、印度和巴基斯坦。

僵尸程序的作者使用的防御機制之一是隱藏挖礦中使用的加密錢包地址。

Avast 研究人員還發(fā)現(xiàn)，僵尸網(wǎng)絡(luò)運營者也通過 Steam交易欺詐獲利。

“正則表達式應(yīng)該會與 Steam 交易報價鏈接相匹配。 Steam 平臺上的用戶可以創(chuàng)建交易報價，與其他用戶交易的通常是他們庫存中的游戲物品?？山灰孜锲返钠饍r僅為幾美分，但最貴的物品卻要賣幾百或幾千美元?！糍N板大盜’程序會操縱交易報價的URL，修改交易的接收者，因此 Steam 用戶把他們的物品發(fā)送給完全不認識的人?！?/p>