使用恶意软件执行加密和剪贴板黑客操作的工作人员已经盗取了至少 170 万美元的被盗加密货币。

据赛门铁克威胁情报团队的研究人员称，这种名为 Trojan.Clipminer 的恶意软件利用受感染系统的计算能力来挖掘加密货币，并在剪贴板文本中识别加密钱包地址并将其替换为重定向交易。

赛门铁克研究人员本周在一篇博文中写道，Windows 恶意软件的第一批样本出现在 2021 年 1 月，并在下个月开始加速传播。他们还观察到，Clipminer 和 KryptoCibule 之间在设计上有一些相似之处——另一种加密木马，在 Clipminer 出现前几个月，由 ESET 分析师检测并编写。

“虽然我们无法确认 Clipminer 和 KryptoCube 是否是一回事，但它们的设计相似性是惊人的，”赛门铁克威胁猎手写道。“有可能在 ESET 的博客曝光之后，KryptoCibule 参与者可能已经改变并启动了 Clipminer。另一种可能性是，不同的威胁参与者可能从 KryptoCibule 中获得灵感并按照其形象创建了 Clipminer。”

无论哪种方式，“有一点很清楚，”研究人员写道，“Clipminer 已被证明是一项成功的努力，为其运营商赢得了可观的收入。”

该恶意软件似乎通过破解或盗版软件的木马下载传播。Clipminer 将 WinRAR 压缩文件放入主机，并以动态链接库 (DLL) 的形式自动提取和删除下载器。一旦执行，它会确保如果它被中断，它将重新启动。然后它会创建一个注册表值并重命名自己，将其放入 Windows 临时文件中。

恶意软件从那里收集系统的详细信息，并通过 Tor 网络连接回命令和控制服务器 (C2)。该恶意软件还创建计划任务以确保受感染系统的持久性和两个包含从主机复制的文件的新目录，以降低恶意文件脱颖而出并混淆其存在的可能性。

还会创建一个空的注册表项，以确保同一主机不会再次受到感染。

研究人员写道：“在每次剪贴板更新时，它都会扫描剪贴板内容以查找钱包地址，识别至少十几种不同加密货币使用的地址格式。” “识别的地址然后被攻击者控制的钱包地址替换。对于大多数地址格式，攻击者提供多个替换钱包地址可供选择。”

Clipminer 选择与被替换地址的前缀匹配的地址，从而使用户不太可能注意到任何事情，而他们更有可能继续进行交易。

研究人员写道，该恶意软件还可以监控键盘和鼠标活动以确定系统是否正在使用，还可以监控正在运行的进程，检查分析人员和故障排除工具。如果主机系统和一些故障排除工具似乎没有被使用，恶意软件将启动 XMRig 加密货币矿工。研究人员观察到，有迹象表明，不良行为者过去曾使用过其他矿工，并且当系统上有专用 GPU 可用时，很可能使用了不同的矿工。

该恶意软件总共拥有 4,375 个由攻击者控制的唯一钱包地址。其中，为三种格式的比特币地址预留了 3,677 个地址。赛门铁克研究人员查看了比特币和以太坊钱包地址，发现当时他们持有大约 34.3 个比特币和 129.9 个以太坊。

与此同时，一些资金显然已被发送到加密货币不倒翁——混合服务旨在使追踪资金变得困难。

他们写道：“这些服务将潜在可识别的资金与其他资金混合在一起，从而掩盖了追溯到资金原始来源的踪迹。” “如果我们将转移到这些服务的资金包括在内，恶意软件运营商可能仅从剪贴板劫持中就可能赚取至少 170 万美元。”

数据安全供应商 Theon Technology 的首席执行官 Scott Bledsoe 告诉The Register，他对坏人赚到的钱并不感到惊讶。

“我发现如果将机器人交付给足够多的主机，他们将获得数百万美元是完全可行的，”Bledsoe 说。“这是不同的，因为他们基本上是在向计算机提供标准化的挖掘软件并在他们不知情的情况下运行它。”

他补充说，该系统“旨在以这种方式工作，假设矿工知道他们的机器正在运行该软件。这在过去十年中已经发生过多次。”