10月14日,Avast威胁实验室的研究人员报告说,MyKings僵尸网络(又名Smominru或DarkCloud)仍然存在,其运营商通过加密挖矿赚钱。筹集了2400万美元的巨款。自2019年以来,MyKings运营商已经从包括比特币、以太坊和狗狗币在内的20多种加密货币中赚取了至少2400万美元。专家分析指出:“MyKings的原理很简单,就是利用剪贴板中的漏洞。检查剪贴板中的具体内容,一旦匹配到预定义的正则表达式(如数字虚拟货币交易链接),恶意软件会替换支付.钱包地址.该恶意软件建立在假设用户粘贴与复制内容相同的内容.即使有人忘记复制内容,而粘贴的内容完全不同,这种场景通常很容易检测(例如复制粘贴内容是文本而不是帐号),但是一长串随机数字和字母与非常相似的字符串之间的变化需要特别小心,例如加密钱包地址。MyKings使用OpenClipboard、EmptyClipboard、SetClipboardData和CloseClipboard函数。虽然这个函数非常简单,但黑客可能通过这个简单的方法已经抢走了超过2470万美元。该恶意软件于2018年2月首次被Proofpoint研究人员发现,当时该僵尸网络利用“永恒之蓝”(EternalBlue)漏洞感染Windows计算机并控制被感染计算机进行门罗币挖矿活动。该僵尸网络自2016年以来一直活跃并感染研究人员表示,在发现时超过526,000台Windows计算机。自2020年初以来,Avast研究人员分析了6,700个独特的僵尸程序样本,并声称已保护超过144,000名Avast客户免受MyKings僵尸网络发起的攻击。受感染的主机位于俄罗斯、印度和巴基斯坦。该僵尸程序的作者使用的防御机制之一是隐藏用于挖矿的加密钱包地址。“为了防止使用正则表达式进行快速分析和静态提取,替换地址已加密。使用的加密是一个非常简单的ROT密码,密钥设置为-1。Avast研究人员还发现,僵尸网络运营商也从Steam交易欺诈中获利。“正则表达式应匹配Steam交易报价链接。”Steam平台上的用户可以与其他用户创建交易报价,通常是针对他们库存中的游戏物品。可交易的物品从几美分起,但最昂贵的物品可以卖到数百或数千美元。“剪贴板小偷”程序操纵了交易报价的URL,修改了交易的接收者,因此Steam用户将他们的物品发送给了他们甚至不认识的人。“
