En ny variant af MyloBot-malwaren bruges i sextortion-kampagner. Tilsyneladende, malwaren implementerer ondsindede nyttelaster, som hackere bruger til at sende sextortion e-mails med krav om $2,732 i cryptocurrency.
Ny version af MyloBot fundet
Minerva-forskere stødte for nylig på en 2022 version af MyloBot (først opdaget i 2018), og besluttede at undersøge, hvordan botnettet har udviklet sig. Til deres overraskelse, det viste sig, at ikke meget har ændret sig med hensyn til muligheder.
“Flere anti-fejlfindings- og anti-vm-teknikker er forsvundet, og flere injektionsteknikker bliver nu implementeret, men, ultimativt, andet trins nyttelast downloadet fra C&C-serveren bruges til at sende afpresnings-e-mails,” påpegede rapporten.
Selve angrebet udføres i seks trin.
Den første fase er afhængig af teknikkerne til opsætning af et uhåndteret undtagelsesfilter ved hjælp af "SetUnhandledExceptionFilter,” og et opkald til WINAPI-funktionen “CreateTimerQueueTimer”.. Under anden fase, malwaren "udfører et Anti-VM-tjek ved hjælp af SetupDiGetClassDevs, SetupDiEnumDeviceInfo og SetupDiGetDeviceRegistryProperty for at forespørge på det venlige navn på alle enheder, der findes på det aktuelle system og tjekker for strengene VMWARE, VBOX, VIRTUAL HD og QEMU i navnet."
Den tredje fase tilføjer persistens til angrebet, hvorimod den fil, der blev brugt i den fjerde fase, er en kopi af den første fase fil. De sidste trin downloader den endelige nyttelast, hvor cleanmgr.exe kører ved hjælp af en ekstra Timing Anti-Debugging-teknik.
Hvad med sextortion-e-mailen?
Indholdet af sextortion-e-mailen er følgende:
Jeg ved, at michigan er en af dine adgangskoder på dagen for hacking..
Lad os komme direkte til sagen.
Ikke én person har betalt mig for at tjekke om dig.
Du kender mig ikke, og du tænker sikkert, hvorfor du modtager denne e-mail?
faktisk, Jeg har faktisk placeret en malware på de voksne vids (voksen porno) hjemmeside og ved du hvad, du besøgte denne side for at opleve sjov (du ved hvad jeg mener).
Da du så videoer, din browser startede med at fungere som en RDP med en nøglelogger, som gav mig adgang til dit display og dit webkamera.
umiddelbart efter det, min malware fik hver eneste af dine kontakter fra din Messenger, FB, samt e-mail-konto.
derefter lavede jeg en dobbeltskærmsvideo. 1del viser den video, du så (du har en god smag omg), og 2. del viser optagelsen af dit kamera, og det er dig.
Den bedste løsning ville være at betale mig $2732.
Vi vil omtale det som en donation. i denne situation, Jeg vil helt sikkert uden forsinkelse fjerne din video.
Min BTC adresse : 14JuDQdSEQtFq7SkFHGJackAxneY9ixAUM
[sagsfølsomme, kopi & indsæt det] Du kunne fortsætte dit liv, sådan som dette aldrig er sket, og du vil aldrig høre tilbage fra mig igen.
Du foretager betalingen via Bitcoin (hvis du ikke kender denne, søg 'hvordan køber man bitcoin’ i Google).
hvis du planlægger at gå til loven, sikkert, denne e-mail kan ikke spores tilbage til mig, fordi den også er hacket.
Jeg har taget hånd om mine handlinger. jeg søger ikke at bede dig om meget, jeg vil bare gerne betales.
hvis jeg ikke modtager bitcoin;, Jeg vil helt sikkert sende din videooptagelse til alle dine kontakter, inklusive venner og familie, medarbejdere, og så videre.
Ikke desto mindre, hvis jeg får løn, jeg vil ødelægge optagelsen med det samme.
Hvis du har brug for bevis, svar med Ja, så sender jeg din videooptagelse til din 8 venner.
det er et tilbud, der ikke kan forhandles, og spild derfor ikke min tid & din ved at svare på denne besked.
Malwaren har også mulighed for at downloade en ekstra nyttelastfil på det inficerede system. "Dette kan tyde på, at trusselsaktøren lod en dør stå åben for sig selv og måske alligevel besluttede at videregive yderligere filer,”Tilføjede rapporten.
MyloBot blev oprindeligt udgivet i 2018. Denne version af malware blev også brugt e-mail-beskeder, specifikt dem udstyret med social engineering-teknikker.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: