Sikkerhedsforskere opdagede en ondsindet operation, der gjorde mindst $1.7 millioner fra cryptocurrency minedrift og udklipsholderkapring. Udgravet af Symantecs Threat Hunter Team, malwaren i operationen, ClipMiner, deler mange ligheder med KryptoCibule trojan, og det kan være en kopi.
ClipMiner i detaljer
Distribution
Ligesom de fleste trojanske heste, ClipMiner spredes også via trojaniserede downloads af piratkopieret eller cracket software. Minearbejderen kommer i form af et selvudpakkende WinRAR-arkiv, droppe og udføre en downloader. Sidstnævnte ankommer som en pakket bærbar eksekverbar DLL med CPL filtypenavnet, selvom den ikke følger CPL-formatet. Filen opretter forbindelse til Tor-netværket og downloader minearbejderens komponenter.
Capabilities
Minearbejderens evner er fokuseret på minedrift af kryptovaluta, og ændring af udklipsholderens indhold i et forsøg på at omdirigere brugernes kryptotransaktioner. "På hver udklipsholderopdatering, den scanner udklipsholderens indhold for tegnebogsadresser, genkende adresseformater, der bruges af mindst et dusin forskellige kryptovalutaer,”Hedder det i rapporten. Disse adresser erstattes derefter med trusselsoperatørernes adresser, og for de fleste er der flere erstatninger at vælge imellem.
ClipMiner vælger derefter den adresse, der matcher præfikset for den adresse, der skal erstattes, og på denne måde er det højst usandsynligt, at offeret vil bemærke manipulationen. Ifølge resultaterne, malwaren bruger 4,375 unikke tegnebogsadresser, af hvilken 3,677 bruges til kun tre forskellige formater af Bitcoin-adresser.
Analyserer kun Bitcoin- og Ethereum-pungadresser, fandt forskerne ud af, at de indeholdt ca 34.3 Bitcoin og 129.9 Ethereum i skrivende stund. Nogle midler er blevet overført til cryptocurrency-tumblere (blande tjenester), som blander potentielt identificerbare midler med andre med ideen om at skjule sporet tilbage til fondens oprindelige kilde. "Hvis vi medregner de midler, der overføres til disse tjenester, malware-operatørerne har potentielt lavet mindst $1.7 millioner fra udklipsholderkapring alene," rapporten bemærkes.
Udviklingen af kryptotyveri
På en anden note, det er nysgerrigt at nævne, at cyberkriminelle har været det at anvende nogle nye teknikker i deres kryptomineringsoperationer. Vaske handel, for eksempel, er en praksis, der involverer kriminelle, der udfører en transaktion, hvor sælgeren er på begge sider af handlen, skabe et misvisende billede af et aktivs værdi og likviditet.
Andre tricks inkluderer følgende:
- Flash-lånsangreb – børsmedlemmer kan låne og derefter hurtigt tilbagebetale midler uden nogen form for sikkerhed ved at misbruge de smarte kontraktfunktioner til at pumpe valutakurserne op.
- Rug pulls – udviklere af et nyt token opgiver hurtigt deres projekt og forsvinder med de investerede midler.
- Kædehop – flytning af penge fra én slags krypto til en række andre i et forsøg på at sløre deres transaktioner.