ทีมนักต้มตุ๋นที่ใช้ มัลแวร์ ที่ดำเนินการขุดคริปโตและแฮกคลิปบอร์ด ได้ทำการแฮกระบบที่เกี่ยวข้องกับสกุลเงินดิจิทัล และถูกขโมยไปอย่างน้อย 1.7 ล้านดอลลาร์
มัลแวร์ ที่มีชื่อว่า Trojan.Clipminer ใช้ประโยชน์จากการแฮกเพื่อเข้าแทรกแซงพลังการประมวลผลของระบบเพื่อขุดหา cryptocurrency รวมทั้งระบุที่อยู่ crypto – wallet ในข้อความคลิปบอร์ดและแทนที่เพื่อเปลี่ยนเส้นทางธุรกรรม ซึ่งข้อมูลดังกล่าวถูกเปิดเผยโดยนักวิจัยจากทีม Threat Intelligence ของ Symantec
มัลแวร์บน Windows
ตัวอย่างเคสแรกของการโจมตีด้วย มัลแวร์ บน Windows ปรากฏขึ้นในเดือนมกราคม 2021 และทวีคูณความรุนแรงขึ้นในเดือนต่อมา นักวิจัยของ Symantec เขียนไว้ในบล็อกโพสต์ในสัปดาห์นี้ พวกเขายังตั้งข้อสังเกตอีกว่ามีความคล้ายคลึงกันระหว่างการออกแบบหลายอย่างระหว่าง Clipminer และ KryptoCibule ซึ่งเป็นโทรจัน cryptomining อีกตัวที่นักวิเคราะห์ของ ESET ตรวจพบและเขียนถึงเมื่อไม่กี่เดือนก่อนที่ Clipminer จะเข้าโจมตี
“ในขณะที่เราไม่สามารถยืนยันได้ว่า Clipminer และ KryptoCube เป็นหนึ่งเดียวกันหรือไม่ แต่การออกแบบที่คล้ายคลึงกันนั้นน่าทึ่งมาก” นักวิจัยของ Symantec เขียน “เป็นไปได้ว่าหลังจากการเปิดเผยจากบล็อกของ ESET ทำให้ KryptoCibule อาจเปลี่ยนสิ่งต่าง ๆ และเปิดตัว Clipminer ความเป็นไปได้อีกประการหนึ่งก็คือผู้คุกคามที่แตกต่างกันอาจได้รับแรงบันดาลใจจาก KryptoCibule และสร้าง Clipminer ในรูปของมัน”
ไม่ว่าจะด้วยวิธีใด “สิ่งหนึ่งที่ชัดเจน” นักวิจัยเขียนว่า “Clipminer ได้พิสูจน์ให้เห็นถึงความพยายามที่ประสบความสำเร็จ โดยทำให้ผู้ปฏิบัติงานได้รับเงินเป็นจำนวนมาก”
วิธีการทำงานของมัลแวร์
ดูเหมือนว่า มัลแวร์ จะแพร่กระจายผ่านการดาวน์โหลดซอฟต์แวร์ที่แคร็กหรือละเมิดลิขสิทธิ์โดยโทรจัน Clipminer ลบไฟล์เก็บถาวร WinRAR ลงในโฮสต์และแยกไฟล์ดาวน์โหลดโดยอัตโนมัติในรูปแบบของไดนามิกลิงก์ไลบรารี ( DLL ) เมื่อดำเนินการแล้ว จะเริ่มต้นใหม่อีกครั้งหากถูกขัดจังหวะ จากนั้นจะสร้างค่ารีจิสทรีและเปลี่ยนชื่อตัวเองโดยใส่ลงในไฟล์ชั่วคราวของ Windows
จากนั้น มัลแวร์ จะรวบรวมรายละเอียดของระบบและเชื่อมต่อกลับไปยังเซิร์ฟเวอร์คำสั่งและการควบคุม ( C2 ) ผ่านเครือข่าย Tor มัลแวร์ ยังสร้างงานที่กำหนดเวลาไว้เพื่อให้แน่ใจว่าจะยังคงอยู่บนระบบที่ติดไวรัสและไดเร็กทอรีใหม่สองไดเร็กทอรีที่มีไฟล์ที่คัดลอกมาจากโฮสต์ เพื่อทำให้มีโอกาสน้อยที่ไฟล์ที่เป็นอันตรายจะโดดเด่นและทำให้การมีอยู่ของพวกเขาสับสน
นอกจากนี้ ยังมีการสร้างคีย์รีจิสทรีว่างเพื่อให้แน่ใจว่าโฮสต์เดียวกันจะไม่ติดไวรัสอีก
“ในการอัปเดตคลิปบอร์ดแต่ละครั้ง จะสแกนเนื้อหาคลิปบอร์ดเพื่อหาที่อยู่กระเป๋าสตางค์ โดยจดจำรูปแบบที่อยู่ที่ใช้โดยสกุลเงินดิจิทัลต่าง ๆ อย่างน้อย 12 สกุล” นักวิจัยเขียน “ที่อยู่ที่รู้จักจะถูกแทนที่ด้วยที่อยู่ของกระเป๋าเงินที่ควบคุมโดยผู้โจมตี สำหรับรูปแบบที่อยู่ส่วนใหญ่ ผู้โจมตีจะจัดหาที่อยู่กระเป๋าเงินทดแทนหลายที่อยู่ให้เลือก”
มัลแวร์ อาจเป็นอันตรายกว่าที่คิด
มัลแวร์ ยังสามารถตรวจสอบการทำงานของแป้นพิมพ์และเมาส์เพื่อตรวจสอบว่าระบบกำลังใช้งานอยู่หรือไม่ และยังตรวจสอบกระบวนการทำงาน ตรวจสอบเครื่องมือวิเคราะห์และเครื่องมือแก้ไขปัญหา หากปรากฏว่าระบบโฮสต์และเครื่องมือแก้ไขปัญหาบางอย่างไม่ได้ใช้งาน มัลแวร์ จะเร่งตัวขุด XMRig cryptocurrency นักวิจัยตั้งข้อสังเกตว่ามีข้อบ่งชี้ว่าผู้ไม่หวังดีเคยใช้เครื่องขุดรายอื่นในอดีต และมีแนวโน้มว่าจะใช้ตัวขุดที่แตกต่างกัน เมื่อมี GPU เฉพาะในระบบ
โดยรวมแล้ว มัลแวร์ มีที่อยู่กระเป๋าเงินที่ไม่ซ้ำกัน 4,375 รายการซึ่งควบคุมโดยผู้โจมตี ในจำนวนนี้มีที่อยู่ 3,677 รายการสำหรับที่อยู่ Bitcoin สามรูปแบบ นักวิจัยของ Symantec ดูที่อยู่กระเป๋าเงิน Bitcoin และ Ethereum และพบในเวลาที่พวกเขาถือ Bitcoin อยู่ประมาณ 34.3 Bitcoin และ 129.9 Ethereum
ในเวลาเดียวกัน เห็นได้ชัดว่าเงินบางส่วนได้ถูกส่งไปยัง cryptocurrency tumbler ซึ่งเป็นบริการผสม crypto ที่ออกแบบมาเพื่อให้ติดตามเงินได้ยาก
“บริการเหล่านี้ผสมผสานกองทุนที่สามารถระบุตัวตนได้กับผู้อื่น เพื่อปิดบังเส้นทางกลับไปยังแหล่งที่มาดั้งเดิมของกองทุน” พวกเขาเขียน “หากเรารวมเงินที่โอนไปยังบริการเหล่านี้ ผู้ประกอบการ มัลแวร์ อาจทำเงินได้อย่างน้อย 1.7 ล้านดอลลาร์จากการแฮกคลิปบอร์ดเพียงอย่างเดียว”
Scott Bledsoe ซีอีโอของ Theon Technology ผู้จำหน่ายระบบรักษาความปลอดภัยข้อมูล บอกกับ The Register ว่า เขาไม่แปลกใจกับจำนวนเงินที่ผู้กระทำความผิดได้รับ
“ฉันพบว่ามันเป็นไปได้อย่างยิ่งที่พวกเขาจะทำเงินได้หลายล้านถ้าบอทถูกส่งไปยังโฮสต์ที่เพียงพอ” Bledsoe กล่าว
“สิ่งนี้แตกต่างในแง่ที่ว่าโดยพื้นฐานแล้วพวกเขาส่งซอฟต์แวร์การขุดที่ได้มาตรฐานไปยังคอมพิวเตอร์ และใช้งานโดยที่พวกเขาไม่รู้”
เขาเสริมว่าระบบ “ได้รับการออกแบบมาให้ทำงานในลักษณะนี้ โดยสันนิษฐานว่าผู้ขุดรู้ว่าเครื่องจักรของตนกำลังใช้งานซอฟต์แวร์อยู่ ซึ่งเหตุการณ์นี้เกิดขึ้นหลายครั้งในทศวรรษที่ผ่านมา”
แหล่งข่าว: theregister.com