Una nuova variante del malware MyloBot viene utilizzata nelle campagne di sextortion. Apparentemente, il malware distribuisce payload dannosi che gli hacker utilizzano per inviare e-mail di sextortion con richieste di $2,732 in criptovaluta.
Rilevata nuova versione di MyloBot
I ricercatori di Minerva si sono recentemente imbattuti in a 2022 versione di MyloBot (rilevato per la prima volta in 2018), e ha deciso di indagare su come si è evoluta la botnet. Con loro sorpresa, si è scoperto che non è cambiato molto in termini di capacità.
“Diverse tecniche Anti – Debugging e Anti – VM sono scomparse e ora vengono implementate altre tecniche di iniezione, ma, in definitiva, il payload del secondo stadio scaricato dal C&Il server C viene utilizzato per inviare e-mail di estorsione,” sottolineava il rapporto.
L'attacco stesso viene eseguito in sei fasi.
La prima fase si basa sulle tecniche di impostazione di un filtro eccezioni non gestiti utilizzando "SetUnhandledExceptionFilter,” e una chiamata alla funzione WINAPI “CreateTimerQueueTimer”.. Durante la seconda fase, il malware “esegue un controllo Anti-VM usando SetupDiGetClassDevs, SetupDiEnumDeviceInfo e SetupDiGetDeviceRegistryProperty per interrogare il nome descrittivo di tutti i dispositivi presenti sul sistema corrente e verifica le stringhe VMWARE, VBOX, VIRTUAL HD e QEMU all'interno del nome."
La terza fase aggiunge persistenza all'attacco, mentre il file utilizzato nella quarta fase è una copia del file della prima fase. Le fasi finali scaricano il payload finale, durante il quale cleanmgr.exe viene eseguito utilizzando una tecnica aggiuntiva di Timing Anti-Debugging.
Che dire dell'e-mail di sextortion?
Il contenuto dell'e-mail di sextortion è il seguente:
So che Michigan è una delle tue password il giorno dell'hacking..
Andiamo direttamente al punto.
Nessuna persona mi ha pagato per controllare su di te.
Non mi conosci e probabilmente stai pensando al motivo per cui ricevi questa email?
infatti, in realtà ho inserito un malware sui video per adulti (porno per adulti) sito web e sai cosa, hai visitato questo sito per divertirti (sai cosa intendo).
Quando stavi guardando i video, il tuo browser ha iniziato a funzionare come RDP con un key logger che mi ha fornito l'accessibilità al tuo display e alla tua web cam.
subito dopo, il mio malware ha ottenuto tutti i tuoi contatti dal tuo Messenger, FB, così come l'account di posta elettronica.
dopo di che ho creato un video a doppio schermo. 1La prima parte mostra il video che stavi guardando (hai un buon gusto omg), e la seconda parte mostra la registrazione della tua cam, e sei tu.
La soluzione migliore sarebbe pagarmi $2732.
La chiameremo donazione. in questa situazione, sicuramente rimuoverò senza indugio il tuo video.
Il mio indirizzo BTC : 14JuDQdSEQtFq7SkFHGJackAxneY9ixAUM
[che tiene conto del maiuscolo o minuscolo, copia & incollalo] Potresti continuare la tua vita come se non fosse mai successo e non mi sentirai mai più.
Effettuerai il pagamento tramite Bitcoin (se non si conosce questo, cerca 'come acquistare bitcoin’ in Google).
se hai intenzione di andare dalla legge, certamente, questa e-mail non può essere ricondotta a me, perché è anche hackerato.
Mi sono preso cura delle mie azioni. Non sto cercando di chiederti molto, Voglio semplicemente essere pagato.
se non ricevo il bitcoin;, Invierò sicuramente la tua registrazione video a tutti i tuoi contatti inclusi amici e familiari, collaboratori, e così via.
Tuttavia, se vengo pagato, distruggerò immediatamente la registrazione.
Se hai bisogno di una prova, rispondi con Sì, quindi invierò la tua registrazione video al tuo 8 amici.
è un'offerta non negoziabile e quindi per favore non perdere tempo & tuo rispondendo a questo messaggio.
Il malware ha anche la capacità di scaricare un file di payload aggiuntivo sul sistema infetto. "Ciò potrebbe indicare che l'attore della minaccia ha lasciato una porta aperta per se stesso e potrebbe ancora decidere di passare file aggiuntivi,"aggiunse il rapporto.
MyloBot è stato inizialmente rilasciato in 2018. Questa versione del malware è stata utilizzata anche per i messaggi di posta elettronica, in particolare quelli dotati di tecniche di ingegneria sociale.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: