La botnet Mylobot se ha descubierto en un ataque reciente en todo el mundo, en el análisis se ha encontrado que contienen un motor de malware avanzado. Se puede ejecutar varios componentes diferentes en función de los objetivos, los hackers detrás que aún se desconocen.
Mylobot Mecanismo de infección Botnet
Los ataques de botnets Mylobot fueron descubiertos durante una evaluación rutinaria de seguridad cibernética por un equipo de seguridad. El análisis publicado revela que la botnet incluye tanto un método de infección sofisticado y un patrón de comportamiento después de la infección que se basa en un motor altamente personalizable. Los investigadores señalan que esto ha producido una red de bots que actualmente está clasificado como uno de los más sofisticados. Al mismo tiempo, no hay ninguna información disponible acerca de la identidad del hacker o colectiva criminal detrás de él.
Los informes publicados no revelan dar el mecanismo de infección exacta como el descubrimiento se hizo en los sistemas que ya estaban comprometidos. Dada la situación hay varios posibles puntos de entrada que el código malicioso podría haber utilizado.
Una de las opciones es el uso de mensajes de correo electrónico infectados, específicamente aquellos que dependen de la ingeniería social técnicas. Los criminales pueden intentar crear mensajes falsificados y notificaciones que utilizan los nombres, texto y gráficos de compañías famosas. Pueden contener contiene adjunto o copias hipervínculos colocado en el contenido del cuerpo. Las infecciones también pueden ser causados por cargas útiles infectados tal como ejemplares de malware de instaladores de aplicaciones o documentos macro-infectados.
La botnet también se puede descargar desde falsificación de sitios de descarga que podría utilizar una plantilla similar y nombre de dominio a los servicios populares y portales conocidos. También se pueden utilizar secuencias de comandos, tales como las ventanas emergentes, redirecciones, hipervínculos en línea, pancartas y etc..
Una infección a gran escala Mylobot botnet se puede hacer usando ataques de red directos. Se hacen por la orientación posibles componentes vulnerables que se cargan en los kits de pruebas de penetración automatizadas. Pueden ser lanzados contra toda la red al mismo tiempo,.
Capacidades Mylobot Botnet
El motor Mylobot botnet software malicioso se ha encontrado que contienen varios componentes que pueden proteger a sí mismo de la detección. Esto ha impedido que el software de seguridad de la captura de sus firmas. Las muestras recogidas han demostrado que incluyen medidas de protección especiales que protegen el virus de todo tipo de aplicaciones. La lista incluye programas anti-virus, cortafuegos, entornos de depuración y anfitriones de máquinas virtuales. Las copias asociadas pueden ya sea de derivación o totalmente quitar el software de seguridad. Algunas muestras Mylobot botnets pueden ser configurados para retirarse si no son capaces de realizar estos pasos.
Una vez que el motor principal Mylobot botnet se ha desplegado en los equipos de destino se inicia una la recolección de datos componente que está programado para secuestrar los siguientes tipos de datos:
- Otras infecciones por virus - Una parte importante del motor Mylobot botnet es que es capaz de detectar la presencia de otros tipos de malware. Puede eliminarlos o pasar por alto sólo aquellas acciones que pueden causar un conflicto con su propia ejecución.
- Información personal - La red de bots Mylobot puede utilizar un motor complejo que puede cosechar una gran cantidad de datos sensibles sobre las víctimas. La información revelada puede exponer la identidad del usuario: su nombre, dirección, número telefónico, ubicación, contraseñas, credenciales de la cuenta y etc..
- Las métricas de campaña - El motor de recolección de datos puede revelar una gran cantidad de datos relativos a los dispositivos infectados que pueden conducir a optimizaciones de campaña en ataques posteriores. Por ejemplo, esto puede incluir un perfil de todos los componentes de hardware instalados y etc..
Tras la ejecución del módulo que se instalará en el equipo de destino como un servicio del sistema. Se ha encontrado desactivar Windows Defender y De Windows Update junto con muchos puertos que normalmente se controla a través del servidor de seguridad integrado. El análisis revela que la seguridad de todos los servicios del sistema que opere desde el %DATOS DE APLICACIÓN%. Esto puede causar ciertas funciones dejen de funcionar y los usuarios pueden perder datos preciosos.
La función principal de la red de bots Mylobot es el lanzamiento de su componente de Troya. Es un motor avanzado de su propia que puede conectarse a una servidor pirata informático controlado y ejecutar comandos remotos, espiar a las víctimas y tomar el control de sus máquinas en un momento dado. Utilizando esta conexión segura sino que también puede ser utilizado para desplegar amenazas adicionales para los objetivos.
Tal como aparece en equipos de destino en una escala mundial se especula que los ataques son impulsadas contra las grandes empresas o las redes del gobierno. Es muy posible que las campañas de ataque en curso están dirigidos a penetrar sólo un conjunto cuidadosamente supervisada de los ordenadores.
El uso de Mylobot Botnet en futuros ataques
El botnet Mylobot se puede utilizar como una solución eficaz contra una amplia gama de objetivos. El análisis de seguridad que presentó sus capacidades muestra que el motor subyacente contiene una gran cantidad de módulos que pueden eludir varias capas de seguridad - tanto contramedidas de red e instalaciones de escritorio que están presentes en los hosts individuales. El hecho de que se encontraron las cepas capturados después de las infecciones ya han penetrado en los productos anti-virus demuestra que en el momento no hay ninguna información precisa sobre el número de infecciones activas en todo el mundo. Su impacto puede variar desde usuarios individuales hasta grandes empresas e incluso las redes del gobierno.
Hay varios escenarios posibles casos de uso que los piratas informáticos pueden adherirse a:
- Los ataques directos - La botnet Mylobot se puede utilizar para apuntar a los objetivos predefinidos usando las capacidades presentadas del motor virus.
- Ataque generalizado - La red de bots puede ser programado para intentar e infectar muchos objetivos a la vez. Esto se hace mejor mediante el uso de muchos casos que se establecen en contra de una red predefinida de hosts de destino. Los intentos de infección se ejecutan normalmente para funcionar en paralelo.
- Entrega de carga útil - La red de bots se utiliza principalmente para eludir las medidas de seguridad. Sin embargo en lugar de realizar la mayor parte de las acciones maliciosas por sí mismo se despliega un virus secundario que es responsable de la infección.
- Las versiones personalizadas - muestras Mylobot Botnet se ofrecen en los mercados de hackers subterráneos y personalizadas para determinados objetivos.
En todos los casos las infecciones causadas por la botnet Mylobot deben manejarse con mucho cuidado, ya que pueden ser muy difíciles de eliminar. Esperamos ver más cambios a su código que puede que sean aún más difíciles de detectar y eliminar.