Des chercheurs en sécurité ont découvert une opération malveillante qui a fait au moins $1.7 millions de l'exploitation minière de crypto-monnaie et piratage du presse-papiers. Découvert par l'équipe Threat Hunter de Symantec, le malware dans l'opération, Clip Miner, partage de nombreuses similitudes avec le Cheval de Troie KryptoCibule, et c'est peut-être un imitateur.
ClipMiner en détail
Distribution
Comme la plupart des chevaux de Troie, ClipMiner est également diffusé via téléchargements troyens de logiciels piratés ou crackés. Le mineur se présente sous la forme d'une archive WinRAR auto-extractible, déposer et exécuter un téléchargeur. Ce dernier arrive sous la forme d'une DLL exécutable portable emballée avec l'extension de fichier CPL, même s'il ne respecte pas le format CPL. Le fichier se connecte au réseau Tor et télécharge les composants du mineur.
capacités
Les capacités du mineur sont axées sur l'extraction de crypto-monnaie, et modifier le contenu du presse-papiers pour tenter de rediriger les transactions cryptographiques des utilisateurs. « À chaque mise à jour du presse-papiers, il scanne le contenu du presse-papiers pour les adresses de portefeuille, reconnaître les formats d'adresse utilisés par au moins une douzaine de crypto-monnaies différentes,» Le rapport. Ces adresses sont ensuite remplacées par celles des opérateurs de la menace, et pour la plupart, il y a plusieurs remplacements à choisir.
ClipMiner choisit alors l'adresse qui correspond au préfixe de l'adresse à remplacer, et de cette façon il est hautement improbable que la victime remarque la manipulation. D'après les résultats, le logiciel malveillant utilise 4,375 adresses de portefeuille uniques, qui 3,677 sont utilisés pour seulement trois formats différents d'adresses Bitcoin.
Analyser uniquement les adresses de portefeuille Bitcoin et Ethereum, les chercheurs ont constaté qu'ils contenaient environ 34.3 Bitcoin et 129.9 Ethereum au moment de la rédaction. Certains fonds ont été transférés dans des gobelets de crypto-monnaie (prestations de mixage), qui mélangent des fonds potentiellement identifiables avec d'autres avec l'idée d'obscurcir la piste de retour à la source d'origine du fonds. "Si nous incluons les fonds transférés à ces services, les opérateurs de logiciels malveillants ont potentiellement fait au moins $1.7 millions de détournement de presse-papiers seul," le rapport c'est noté.
L'évolution du vol de crypto
Sur une différente note, il est curieux de mentionner que les cybercriminels ont été adopter de nouvelles techniques dans leurs opérations de cryptominage. Commerce de lavage, par exemple, est une pratique qui implique que des criminels exécutent une transaction dans laquelle le vendeur est des deux côtés du commerce, créer une image trompeuse de la valeur et de la liquidité d'un actif.
D'autres astuces incluent les suivantes:
- Attaques de prêts flash - les membres de l'échange peuvent emprunter puis rembourser rapidement des fonds sans aucune garantie en abusant des fonctionnalités de contrat intelligent pour augmenter les taux de change.
- Rug pulls - les développeurs d'un nouveau jeton abandonnent rapidement leur projet et disparaissent avec les fonds investis.
- Saut de chaîne - déplacer des fonds d'un type de crypto à une série d'autres dans le but d'obscurcir leurs transactions.