セキュリティ研究者は、少なくとも $1.7 から百万 暗号通貨マイニング とクリップボードのハイジャック. ノートンライフロックのスレットハンターチームが発掘, 運用中のマルウェア, ClipMiner, と多くの類似点を共有します KryptoCibuleトロイの木馬, そしてそれは模倣者かもしれません.
ClipMinerの詳細
分布
ほとんどのトロイの木馬のように, ClipMinerも trojanizedダウンロード 海賊版またはクラックされたソフトウェアの. マイナーは、自己解凍型のWinRARアーカイブの形式で提供されます, ダウンローダーのドロップと実行. 後者は、CPLファイル拡張子を持つパックされたポータブル実行可能DLLとして到着します, CPL形式に準拠していなくても. ファイルはTorネットワークに接続し、鉱夫のコンポーネントをダウンロードします.
機能
マイナーの機能は、暗号通貨のマイニングに焦点を当てています, ユーザーの暗号取引をリダイレクトするためにクリップボードのコンテンツを変更する. 「各クリップボードの更新で, クリップボードのコンテンツをスキャンしてウォレットアドレスを探します, 少なくとも12の異なる暗号通貨で使用されているアドレス形式を認識する,」レポートは言った. これらのアドレスは、脅威オペレーターのアドレスに置き換えられます, ほとんどの場合、複数の代替品から選択できます.
次に、ClipMinerは、置き換えるアドレスのプレフィックスと一致するアドレスを選択します, このようにして、被害者が操作に気付く可能性はほとんどありません。. 調査結果によると, マルウェアが使用する 4,375 一意のウォレットアドレス, そのうちの 3,677 ビットコインアドレスの3つの異なる形式にのみ使用されます.
ビットコインとイーサリアムのウォレットアドレスのみを分析する, 研究者は、彼らがおよそ含まれていることを発見しました 34.3 ビットコインと 129.9 執筆時点でのイーサリアム. 一部の資金は暗号通貨タンブラーに送金されました (ミキシングサービス), これは、潜在的に識別可能なファンドを他のファンドと混合し、ファンドの元のソースに戻る道を曖昧にするという考えを持っています. 「これらのサービスに送金された資金を含めると, マルウェアオペレーターは少なくとも $1.7 クリップボードの乗っ取りだけで100万," レポート 了解しました.
暗号盗難の進化
別のメモで, サイバー犯罪者が 暗号化操作にいくつかの新しい技術を採用する. 仮装売買, 例えば, 売り手が取引の両側にいる取引を実行する犯罪者を含む慣行です, 資産の価値と流動性の誤解を招くような画像を作成する.
その他のトリックには次のものがあります:
- フラッシュローン攻撃–為替レートを引き上げるためにスマートコントラクト機能を悪用することにより、取引所のメンバーは担保なしで資金を借りてすぐに返済することができます.
- ラグプル–新しいトークンの開発者はすぐにプロジェクトを放棄し、投資した資金で姿を消します.
- チェーンホッピング–取引を難読化するために、ある種類の暗号通貨から一連の他の暗号通貨に資金を移動する.