Een nieuwe variant van de MyloBot-malware wordt gebruikt in sextortion-campagnes. Blijkbaar, de malware zet kwaadaardige payloads in die hackers gebruiken om te verzenden sextortion e-mails met eisen van $2,732 in cryptogeld.
Nieuwe versie van MyloBot gedetecteerd
Minerva-onderzoekers stuitten onlangs op een 2022 versie van MyloBot (voor het eerst gedetecteerd in 2018), en besloten te onderzoeken hoe het botnet is geëvolueerd. tot hun verbazing, bleek er niet veel te zijn veranderd qua mogelijkheden.
“Verschillende anti-debugging- en anti-VM-technieken zijn verdwenen en er worden nu meer injectietechnieken geïmplementeerd, maar, uiteindelijk, de payload van de tweede trap gedownload van de C&C-server wordt gebruikt om afpersingsmails te verzenden,” meldde het rapport.
De aanval zelf wordt uitgevoerd in zes fasen.
De eerste fase is gebaseerd op de technieken van het opzetten van een onverwerkte uitzonderingsfilter met behulp van "SetUnhandledExceptionFilter," en een oproep naar de "CreateTimerQueueTimer" WINAPI-functie. Tijdens de tweede fase, de malware “voert een anti-VM-controle uit met behulp van SetupDiGetClassDevs, SetupDiEnumDeviceInfo en SetupDiGetDeviceRegistryProperty om de beschrijvende naam van alle aanwezige apparaten op het huidige systeem op te vragen en te controleren op de tekenreeksen VMWARE, VBOX, VIRTUAL HD en QEMU binnen de naam.”
De derde fase voegt persistentie toe aan de aanval, terwijl het bestand dat in de vierde fase wordt gebruikt een kopie is van het bestand van de eerste fase. De laatste fasen downloaden de laatste payload, waarin cleanmgr.exe wordt uitgevoerd met behulp van een extra Timing Anti-Debugging-techniek.
Hoe zit het met de sextortion-e-mail??
De inhoud van de sextortion-e-mail is als volgt::
Ik weet dat Michigan een van je wachtwoorden is op de dag van de hack..
Laten we direct ter zake komen.
Niet één persoon heeft me betaald om over jou te controleren.
Je kent me niet en je denkt waarschijnlijk waarom je deze e-mail ontvangt?
in feite, ik heb eigenlijk malware op de volwassen video's geplaatst (porno voor volwassenen) website en weet je wat, je hebt deze site bezocht om plezier te beleven (je weet wat ik bedoel).
Toen je video's aan het bekijken was, je browser begon te werken als een RDP met een keylogger die me toegang gaf tot je scherm en webcam.
onmiddellijk daarna, mijn malware heeft al je contacten van je Messenger gehaald, FB, evenals e-mailaccount.
daarna heb ik een video op dubbel scherm gemaakt. 1st deel toont de video die je aan het bekijken was (je hebt een lekkere smaak omg), en 2e deel toont de opname van je cam, en jij bent het.
De beste oplossing zou zijn om mij te betalen $2732.
We gaan het een donatie noemen. in deze situatie, ik zal je video zeker zonder vertraging verwijderen.
Mijn BTC-adres : 14JuDQdSEQtFq7SkFHGJackAxneY9ixAUM
[hoofdlettergevoelig, kopie & plak het] Je zou door kunnen gaan met je leven alsof dit nooit is gebeurd en je zult nooit meer iets van me horen.
U doet de betaling via Bitcoin (als je niet weet, zoek 'hoe bitcoin te kopen'’ in Google).
als je van plan bent naar de wet te gaan, zeker, deze e-mail is niet naar mij te herleiden, omdat het ook gehackt is.
Ik heb voor mijn acties gezorgd. ik ben niet van plan om je veel te vragen, ik wil gewoon betaald worden.
als ik de bitcoin niet ontvang;, Ik zal je video-opname zeker naar al je contacten sturen, inclusief vrienden en familie, co-werkers, enzovoort.
Niettemin, als ik betaald krijg, ik zal de opname onmiddellijk vernietigen.
Als je bewijs nodig hebt, antwoord met Ja, dan stuur ik je video-opname naar je 8 vrienden.
het is een niet-onderhandelbaar aanbod en verspil dus alsjeblieft geen tijd van mij & de jouwe door op dit bericht te reageren.
De malware heeft ook de mogelijkheid om een extra payload-bestand te downloaden op het geïnfecteerde systeem. “Dit kan erop wijzen dat de dreigingsactor een deur voor zichzelf heeft opengelaten en toch zou kunnen besluiten om aanvullende bestanden door te geven,” het rapport toegevoegd.
MyloBot werd oorspronkelijk uitgebracht in 2018. Deze versie van de malware is ook gebruikt in e-mailberichten, specifiek degenen die zijn uitgerust met social engineering-technieken.