Eine neue Variante der MyloBot-Malware wird in Sextortion-Kampagnen verwendet. Offenbar, Die Malware setzt bösartige Payloads ein, die Hacker zum Senden verwenden Sextortion-E-Mails mit Forderungen von $2,732 in Kryptowährung.
Neue Version von MyloBot erkannt
Minerva-Forscher stießen kürzlich auf eine 2022 Version von MyloBot (zuerst entdeckt in 2018), und beschloss, zu untersuchen, wie sich das Botnet entwickelt hat. Zu ihrer Überraschung, Es stellte sich heraus, dass sich in Bezug auf die Fähigkeiten nicht viel geändert hat.
„Einige Anti-Debugging- und Anti-VM-Techniken sind verschwunden und es werden jetzt mehr Injektionstechniken implementiert, aber, letzten Endes, die vom C heruntergeladene Nutzlast der zweiten Stufe&Der C-Server wird zum Senden von Erpressungs-E-Mails verwendet,“, betonte der Bericht.
Der Angriff selbst wird in sechs Stufen ausgeführt.
Die erste Stufe beruht auf den Techniken zum Einrichten eines Filters für unbehandelte Ausnahmen mithilfe von „SetUnhandledExceptionFilter,“ und ein Aufruf der WINAPI-Funktion „CreateTimerQueueTimer“.. Während der zweiten Stufe, die Malware „führt eine Anti-VM-Prüfung mit SetupDiGetClassDevs durch, SetupDiEnumDeviceInfo und SetupDiGetDeviceRegistryProperty, um den Anzeigenamen aller auf dem aktuellen System vorhandenen Geräte abzufragen und auf die Zeichenfolgen VMWARE zu prüfen, VBOX, VIRTUAL HD und QEMU im Namen.“
Die dritte Stufe fügt dem Angriff Persistenz hinzu, wohingegen die in der vierten Stufe verwendete Datei eine Kopie der Datei der ersten Stufe ist. Die letzten Phasen laden die endgültige Nutzlast herunter, Währenddessen wird cleanmgr.exe mit einer zusätzlichen Timing-Anti-Debugging-Technik ausgeführt.
Was ist mit der Sextortion-E-Mail??
Der Inhalt der Sextortion-E-Mail ist folgender:
Ich weiß, dass Michigan eines Ihrer Passwörter am Tag des Hacks ist..
Kommen wir direkt zum Punkt.
Nicht eine Person hat mich dafür bezahlt, nach Ihnen zu sehen.
Du kennst mich nicht und denkst wahrscheinlich, warum du diese E-Mail bekommst?
tatsächlich, Ich habe tatsächlich eine Malware auf die Videos für Erwachsene gelegt (Porno für Erwachsene) Website und weißt du was, Sie haben diese Seite besucht, um Spaß zu haben (du weißt was ich meine).
Wenn Sie Videos angesehen haben, Ihr Browser begann als RDP mit einem Keylogger, der mir den Zugriff auf Ihr Display und Ihre Webcam ermöglichte.
unmittelbar danach, Meine Malware hat jeden Ihrer Kontakte von Ihrem Messenger erhalten, FB, sowie E-Mail-Konto.
Danach habe ich ein Double-Screen-Video erstellt. 1Der erste Teil zeigt das Video, das Sie angesehen haben (du hast einen guten geschmack omg), und 2. teil zeigt die aufnahme deiner cam, und du bist es.
Die beste Lösung wäre, mich zu bezahlen $2732.
Wir werden es als Spende bezeichnen. in dieser Situation, Ich werde Ihr Video mit Sicherheit unverzüglich entfernen.
Meine BTC-Adresse : 14JuDQdSEQtFq7SkFHGJackAxneY9ixAUM
[case Sensitiv, Kopie & füge es ein] Du könntest dein Leben so weiterführen, als wäre das nie passiert, und du wirst nie wieder etwas von mir hören.
Die Zahlung erfolgt über Bitcoin (wenn Sie nicht wissen, diese, suche 'wie man bitcoin kauft’ in Google).
wenn Sie vorhaben, vor Gericht zu gehen, sicherlich, diese E-Mail kann nicht zu mir zurückverfolgt werden, weil es auch gehackt ist.
Ich habe auf meine Taten geachtet. Ich möchte Sie nicht um viel bitten, Ich möchte einfach bezahlt werden.
wenn ich den Bitcoin nicht erhalte;, Ich werde Ihre Videoaufzeichnung auf jeden Fall an alle Ihre Kontakte senden, einschließlich Freunde und Familie, Mitarbeiter, und so weiter.
Trotzdem, wenn ich bezahlt werde, Ich werde die Aufzeichnung sofort vernichten.
Wenn Sie Beweise brauchen, Antworte mit Ja, dann schicke ich dir deine Videoaufnahme 8 Freunde.
Es ist ein nicht verhandelbares Angebot und verschwenden Sie daher bitte keine Zeit & Ihnen, indem Sie auf diese Nachricht antworten.
Die Malware hat auch die Fähigkeit, eine zusätzliche Payload-Datei auf das infizierte System herunterzuladen. „Dies könnte darauf hindeuten, dass der Bedrohungsakteur eine Tür für sich selbst offen gelassen hat und möglicherweise noch beschließt, weitere Dateien weiterzugeben,“ fügte der Bericht hinzu.
MyloBot wurde ursprünglich in veröffentlicht 2018. Diese Version der Malware wurde auch für E-Mail-Nachrichten verwendet, insbesondere solche, die mit Social-Engineering-Techniken ausgestattet sind.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: