Uma nova variante do malware MyloBot é usada em campanhas de sextortion. Pelo visto, o malware implanta cargas maliciosas que os hackers usam para enviar e-mails de sextorsão com demandas de $2,732 em criptomoeda.
Nova versão do MyloBot detectada
Pesquisadores do Minerva encontraram recentemente um 2022 versão do MyloBot (detectado pela primeira vez em 2018), e decidiu investigar como a botnet evoluiu. Para sua surpresa, descobriu-se que não mudou muito em termos de capacidades.
“Várias técnicas Anti – Debugging e Anti – VM desapareceram e mais técnicas de injeção estão sendo implementadas, mas, no final das contas, a carga útil do segundo estágio baixada do C&O servidor C é usado para enviar e-mails de extorsão,” aponta o relatório.
O ataque em si é executado em seis etapas.
O primeiro estágio baseia-se nas técnicas de configuração de um filtro de exceção sem tratamento usando “SetUnhandledExceptionFilter,” e uma chamada para a função WINAPI “CreateTimerQueueTimer”. Durante a segunda etapa, o malware “realiza uma verificação Anti-VM usando SetupDiGetClassDevs, SetupDiEnumDeviceInfo e SetupDiGetDeviceRegistryProperty para consultar o nome amigável de todos os dispositivos presentes no sistema atual e verificar as strings VMWARE, VBOX, VIRTUAL HD e QEMU dentro do nome.”
O terceiro estágio adiciona persistência ao ataque, Considerando que o ficheiro utilizado na quarta fase é uma cópia do ficheiro da primeira fase. Os estágios finais baixam a carga útil final, durante o qual cleanmgr.exe é executado usando uma técnica adicional de antidepuração de tempo.
E o e-mail de sextortion?
O conteúdo do e-mail de sextortion é o seguinte:
Eu sei que michigan é uma das suas senhas no dia do hack..
Vamos direto ao ponto.
Nenhuma pessoa me pagou para verificar sobre você.
Você não me conhece e provavelmente está pensando por que está recebendo este e-mail?
de fato, eu realmente coloquei um malware nos vídeos adultos (pornô adulto) site e você sabe o que, você visitou este site para se divertir (Você sabe o que eu quero dizer).
Quando você estava vendo vídeos, seu navegador começou a operar como um RDP com um keylogger que me forneceu acessibilidade ao seu monitor e webcam.
imediatamente depois disso, meu malware obteve todos os seus contatos do seu Messenger, FB, bem como conta de e-mail.
depois disso eu criei um vídeo de tela dupla. 1ª parte mostra o vídeo que você estava vendo (você tem um bom gosto obg), e a 2ª parte exibe a gravação da sua cam, e é você.
A melhor solução seria me pagar $2732.
Vamos nos referir a isso como uma doação. nesta situação, eu certamente removerei seu vídeo sem demora.
Meu endereço BTC : 14JuDQdSEQtFq7SkFHGJackAxneY9ixAUM
[maiúsculas e Minúsculas, cópia de & Cole] Você poderia continuar sua vida como se isso nunca tivesse acontecido e você nunca mais terá notícias minhas.
Você fará o pagamento via Bitcoin (se você não sabe disso, pesquisar 'como comprar bitcoin’ no Google).
se você está planejando ir para a lei, certamente, este e-mail não pode ser rastreado até mim, porque também é hackeado.
Eu cuidei de minhas ações. eu não estou olhando para pedir-lhe muito, eu simplesmente quero ser pago.
se eu não receber o bitcoin;, Definitivamente enviarei sua gravação de vídeo para todos os seus contatos, incluindo amigos e familiares, colegas de trabalho, e assim por diante.
mesmo assim, se eu for pago, vou destruir a gravação imediatamente.
Se você precisar de provas, responda com Sim, então vou enviar sua gravação de vídeo para o seu 8 amigos.
é uma oferta inegociável e, portanto, não perca meu tempo & seu respondendo a esta mensagem.
O malware também tem a capacidade de baixar um arquivo de carga útil adicional no sistema infectado. “Isso pode indicar que o agente da ameaça deixou uma porta aberta para si mesmo e ainda pode decidir passar arquivos adicionais,”O relatório adicionou.
MyloBot foi lançado inicialmente em 2018. Esta versão do malware também foi usada para mensagens de e-mail, especificamente aqueles equipados com técnicas de engenharia social.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: