Xakep #305. Многошаговые SQL-инъекции
По информации исследователей Symantec, вредонос Clipminer уже принес своим операторам не менее 1,7 млн долларов, перехватывая чужие транзакции и добывая криптовалюту на зараженных машинах.
Исследователи рассказывают, что Clipminer основан на исходном коде другого трояна, KryptoCibule, то есть может являться либо подражателем, либо более продвинутой версией последнего. Clipminer был замечен в январе 2021 года, вскоре после того, как KryptoCibule подробно описали эксперты компании ESET, что является еще одним аргументов в пользу «ребрендинга» вредоноса.
В общей сложности исследователи Symantec выявили 4375 уникальных адресов криптовалютных кошельков, на которые переводились украденные Clipminer средства. Эксперты нашли примерно 34,3 BTC и 129,9 ETH в кошельках, контролируемых злоумышленниками, и при этом считается, что другие средства ранее были выведены и «отмыты» с помощью миксер-сервисов.
Clipminer распространяется, маскируясь под кряки для игр, под видом пиратского ПО, а также через P2P-сети, торрент-трекеры и видео на YouTube. В систему малварь попадает в виде архива WinRAR и автоматически извлекает из архива файла .CPL, который загружает файл .DLL.
DLL создает новую запись в реестре и размещает себя в папке C:\Windows\Temp\ под случайным именем. Его цель — составить профиль зараженного хоста, а также загрузить и установить полезную нагрузку Clipminer через Tor.
Сама малварь запускает Onion-сервис v3 с уникальным адресом, отслеживает все действия с клавиатурой и мышью на зараженном компьютере, а также проверяет запущенные процессы для выявления любых аналитических инструментов.
Когда на хосте нет никакой активности, то есть пользователь отсутствует, Clipminer запускает майнер XMRig для добычи Monero, настроенный на использование всех доступных мощностей ЦП. Поскольку человека за компьютером нет, нет риска, что замедление производительности системы кто-то заметит.
Параллельно с этим вредонос постоянно отслеживает буфер обмена в поисках скопированных криптовалютных адресов и на лету заменяет их другими, принадлежащими злоумышленниками, таким образом похищая чужие платежи.