La botnet Mylobot è stato scoperto in un recente attacco di tutto il mondo, su analisi è stata rilevata la presenza di un motore di malware avanzato. E 'in grado di eseguire numerosi componenti diversi a seconda degli obiettivi, gli hacker dietro di esso sono ancora sconosciute.
Mylobot Botnet Infezione Meccanismo
Gli attacchi botnet Mylobot sono stati scoperti nel corso di una valutazione della sicurezza informatica di routine da un team di sicurezza. L'analisi pubblicata rivela che la botnet include sia un metodo di infezione sofisticata e un modello di comportamento dopo l'infezione che si basano su un motore altamente personalizzabile. I ricercatori fanno notare che questo ha prodotto una botnet che è attualmente valutato come uno dei più sofisticati. Allo stesso tempo, non ci sono informazioni disponibili circa l'identità degli hacker o collettiva criminale dietro di esso.
I rapporti pubblicati non dare rivelano il meccanismo di infezione esatto come la scoperta è stata fatta su sistemi che sono stati già compromessa. Data la situazione ci sono diversi possibili punti di ingresso che il codice maligno potrebbe aver usato.
Una delle opzioni è l'uso di messaggi e-mail infetti, in particolare quelli che si basano su ingegneria sociale tecniche. I criminali possono tentare di creare messaggi contraffatti e le notifiche che utilizzano i nomi, testo e grafica delle aziende famose. Possono contenere contiene allegato copie o collegamenti ipertestuali collocato nei contenuti corpo. Le infezioni possono essere causate da payload infetti come copie del malware di installazione delle applicazioni o documenti macro-infettati.
La botnet può anche essere scaricato dal siti contraffatti di download che potrebbe utilizzare un modello simile e il nome di dominio per i servizi popolari e portali ben noti. Essi possono anche utilizzare script come pop-up, reindirizzamenti, collegamenti in-linea, striscioni e ecc.
Un'infezione su larga scala Mylobot botnet può essere effettuato utilizzando attacchi di rete diretti. Sono fatte di mira possibili componenti vulnerabili che vengono caricati in kit di test di penetrazione automatizzati. Essi possono essere lanciati contro tutta la rete, allo stesso tempo.
Funzionalità Mylobot botnet
Il motore Mylobot botnet malware è stato trovato per contenere diversi componenti che si possono proteggere dal rilevamento. Questo ha impedito il software di sicurezza dalla cattura sue firme. I campioni raccolti hanno dimostrato di comprendere misure speciali di protezione che proteggono il virus da tutti i tipi di applicazioni. L'elenco comprende programmi anti-virus, firewall, ambienti di debug e gli host di macchine virtuali. Le copie associati possono sia bypass o del tutto rimuovere il software di sicurezza. Taluni campioni Mylobot botnet possono essere configurati per rimuovere stessi se non sono in grado di eseguire questi passaggi.
Una volta che il motore Mylobot botnet principale è stato distribuito sui computer di destinazione avvia un i dati di raccolta componente che è programmato per dirottare i seguenti tipi di dati:
- Altre infezioni virali - Una parte importante del motore Mylobot botnet è che è in grado di rilevare la presenza di altri malware. Può rimuoverle o bypassare solo le azioni che possono causare un conflitto con la propria esecuzione.
- Dati personali - La botnet Mylobot possibile utilizzare un motore complesso che può raccogliere un sacco di dati sensibili sulle vittime. Le informazioni rivelate in grado di esporre l'identità dell'utente: il loro nome, indirizzo, numero di telefono, posizione, password, credenziali dell'account ed ecc.
- Metriche campagna - Il motore di rilevazione dati può rivelare un sacco di dati riguardanti i dispositivi infetti che può portare a ottimizzazioni della campagna in attacchi successivi. Per esempio, questo può includere un profilo di tutti i componenti hardware installati e ecc.
Dopo l'esecuzione del modulo sarà installarsi sul computer di destinazione come un servizio di sistema. E 'stato trovato per disabilitare Windows Defender e Windows Update insieme a molte porte che vengono normalmente controllati tramite il firewall incorporato. L'analisi di sicurezza rivela che tutti i servizi di sistema che operano dal %APPDATA%. Ciò può causare alcune funzioni smettere di funzionare e gli utenti potrebbero perdere dati preziosi.
La funzione principale della botnet Mylobot è il lancio del suo componente Trojan. Si tratta di un motore avanzato di una propria in grado di connettersi a un server di hacker controllato ed eseguire comandi remoti, spiare le vittime e prendere il controllo delle loro macchine in un dato momento. Utilizzando questa connessione sicura può anche essere utilizzato per distribuire ulteriori minacce per gli obiettivi.
Così come appare ai computer di destinazione su scala globale ipotizziamo che gli attacchi sono spinti contro le grandi aziende o reti governative. E 'molto probabile che le campagne di attacco in corso sono mirati per penetrare solo un insieme attentamente monitorato di computer.
Uso di Mylobot botnet in attacchi futuri
La botnet Mylobot può essere utilizzato come una soluzione efficace contro una vasta gamma di obiettivi. L'analisi di sicurezza che ha presentato le sue capacità mostra che il motore sottostante contiene un sacco di moduli che possono bypassare diversi livelli di sicurezza - sia contromisure di rete e installazioni desktop che sono presenti sui singoli host. Il fatto che i ceppi catturati sono stati trovati dopo le infezioni hanno già penetrato i prodotti anti-virus dimostra che al momento non ci sono informazioni precise circa il numero di infezioni attive in tutto il mondo. Il suo impatto può variare da singoli utenti alle grandi imprese e anche le reti governative.
Ci sono diversi possibili scenari dei casi d'uso che gli hacker possono aderire:
- Attacchi diretti - La botnet Mylobot può essere utilizzato per indirizzare gli obiettivi predefiniti utilizzando le funzionalità presentate del motore antivirus.
- attacco diffuso - La botnet può essere programmato per tentare e infettare molti obiettivi in una volta. Questo è fatto meglio utilizzando molti casi che sono impostate contro una rete predefinito di host di destinazione. I tentativi di infezione vengono di solito effettuate per l'esecuzione in parallelo.
- payload di consegna - La botnet è principalmente usato per aggirare le misure di sicurezza. Tuttavia invece di eseguire la maggior parte delle azioni pericolose di per sé che schiera un virus secondario che è responsabile per l'infezione.
- versioni personalizzate - campioni Mylobot botnet sono offerti sui mercati degli hacker metropolitana e personalizzati per determinati obiettivi.
In tutti i casi le infezioni causate da botnet Mylobot deve essere maneggiato con estrema cautela in quanto possono essere molto difficili da rimuovere. Ci aspettiamo di vedere ulteriori aggiornamenti al suo codice, che può renderli ancora più difficili da rilevare e rimuovere.