MKD-CIRT National Centre for Computer Incident Response
Софистицираниот ботнет познат како MyloBot компромитира илјадници системи, а повеќето од нив се наоѓаат во Индија, САД, Индонезија и Иран.
Ова е според новите наоди од страна на BitSight, кој изјави дека „во моментов забележува повеќе од 50.000 уникатни инфицирани системи секој ден“, што е намалување од максимумот од 250.000 уникатни хостови во 2020 година.
MyloBot, кој се појави во 2017 година, беше првпат документиран од страна на Deep Instinct во 2018 година, повикувајќи се на неговите техники за антианализа и неговата способност да функционира како преземач.
„Она што го прави MyloBot опасен е неговата способност да презема и извршува секаков вид на payload откако ќе зарази домаќин“, изјавија од Lumen’s Black Lotus Labs во ноември 2018 година. „Ова значи дека во секое време може да преземе кој било друг вид на малициозен софтвер што напаѓачот го посакува. ”
Минатата година, малициозен софтвер беше забележан како испраќа е-пошта од хакирани крајни точки како дел од финансиски мотивирана кампања која бара над 2.700 долари во Bitcoin.
Познато е дека MyloBot користи повеќестепена секвенца за отпакување и ширење на бот малициозен софтвер. Забележително, исто така, останува неактивен 14 дена пред да се обиде да го контактира command & control (C2) серверот за да го избегне откривањето.
Примарната функција на ботнетот е да воспостави врска со хард-кодираниот C2 домен вграден во малициозниот софтвер и да чека дополнителни инструкции.
„Кога Mylobot добива инструкција од C2, тој го трансформира заразениот компјутер во прокси“, изјави BitSight. „Инфицираната машина ќе може да се справи со многу врски и да го пренесува сообраќајот испратен преку command & control серверот.
Последователните повторувања на малициозниот софтвер го искористија преземачот кој, пак, контактира со C2 серверот, кој одговара со шифрирана порака која содржи линк за враќање на MyloBot payload.
Доказите дека MyloBot би можел да биде дел од нешто поголемо произлегуваат од reverse DNS lookup на една од IP адресите поврзани со C2 инфраструктурата на ботнетот, открија врски со доменот наречен „clients.bhproxies[.]com“.
Компанијата за сајбер-безбедност со седиште во Бостон соопшти дека почнала да го запира MyloBot во ноември 2018 година и дека продолжува да забележува како ботнетот еволуира со текот на времето.
Извор: TheHackerNews