Otimanjem međuspremnika kriminalci se domogli gotovo 25 milijuna dolara

Jedna od najvećih botnet mreža u svijetu koja inače zaražena računala koristi za rudarenje kriptovaluta počela je širiti trojanca koji preuzima kontrolu nad funkcijom međuspremnika i tako krade novac

Sandro Vrbanus petak, 15. listopada 2021. u 17:00

Botnet mreža MyKings, poznata i pod imenima Smominru i Hexmen, jedna je od najvećih u svijetu i postoji već najmanje četiri godine. Prvi je puta javnost za nju doznala 2017. godine kada je uspjela zaraziti preko pola milijuna računala i putem njih u samo mjesec dana izrudariti 2,3 milijuna dolara u kriptovaluti monero.

Sigurnosni stručnjaci iz Avasta sada su objavili svoju analizu rada ove botnet mreže koja je pokazala da su do sada njezini vlasnici uspjeli utržiti 24,7 milijuna dolara u raznim kriptovalutama. Međutim, u analizi iznenađuje metoda kojom je ova botnet mreža došla do tolikih "prihoda". Umjesto da od ilegalnih radnji zarađuju kao ranije, nastanjivanjem malwarea na napadnuta računala i korištenjem njihovih resursa za rudarenje, voditelji MyKingsa promijenili su poslovni model. Sada na zaražena računala instaliraju novog trojanca, pa im glavnina novca dolazi od njega.

Preusmjeravanje plaćanja

Taj trojanac ima samo jednu svrhu – pratiti kada žrtva prebacuje kriptovalute s jedne adrese na drugu, i u tom trenutku zamijeniti adresu odredišnog računa adresom napadačevog walleta. To se obavlja dobro poznatom metodom otimanja međuspremnika, tj. preuzimanjem kontrole nad funkcijom copy/paste.

Kada trojanac primijeti da je korisnik (žrtva napada) u svoj međuspremnik kopirao adresu kriptonovčanika, umjesto nje se ubacuje nova adresa, što rezultira time da kopirana i zalijepljena adresa nisu jednake. Budući da se adrese walleta sastoje od dugog, ljudima nečitkog, niza alfanumeričkih znakova, rijetko kada će korisnik primijetiti da ono što je kopirao nije isto što je nekoliko trenutaka kasnije i zalijepio.

Ovaj perfidni napad često rezultira time da žrtve svoje kriptovalute prebace na napadačev wallet, a odatle im onda više nema spasa. Avast kaže da je ovaj modul za krađu funkcije međuspremnika aktivan od 2018., a samo prošle godine blokirali su ga na 144 tisuće zaraženih računala. Njihove pronalaske potvrdili su i iz kompanije Sophos, koji je otkrio da malware na napadnutim računalima u clipboard na opisani način stavlja neku od čak 1.300 adresa walleta, u koje se potom nehotično uplaćuju kriptovalute.

Ovom prilično jednostavnom metodom prevare (pod uvjetom da prije toga uspješno plasiraju trojanca) napadači su do sada, malo po malo, ukrali gotovo 25 milijuna dolara od velikog broja žrtava. Neki od njih o tome su pisali i na Etherscanu, misleći da je riječ o pogrešci.