O botnet Mylobot foi descoberto em um recente ataque mundial, após análise, descobriu-se que contém um mecanismo de malware avançado. Ele pode executar vários componentes diferentes, dependendo dos alvos, os hackers por trás disso ainda são desconhecidos.
Mecanismo de infecção de botnet Mylobot
Os ataques do botnet Mylobot foram descobertos durante uma avaliação de rotina de segurança cibernética por uma equipe de segurança. A análise publicada revela que o botnet inclui um método sofisticado de infecção e um padrão de comportamento pós-infecção baseado em um mecanismo altamente personalizável. Os pesquisadores observam que isso produziu um botnet que atualmente é classificado como um dos mais sofisticados. Ao mesmo tempo, não há informações disponíveis sobre a identidade do hacker ou do coletivo criminoso por trás disso.
Os relatórios publicados não revelam o mecanismo de infecção exato, pois a descoberta foi feita em sistemas que já estavam comprometidos. Dada a situação, existem vários possíveis pontos de entrada que o código malicioso pode ter usado.
Uma das opções é o uso de mensagens de e-mail infectadas, especificamente aqueles que dependem de Engenharia social técnicas. Os criminosos podem tentar criar mensagens falsas e notificações que usam os nomes, textos e gráficos de empresas famosas. Eles podem conter em anexo cópias ou hyperlinks colocado no conteúdo do corpo. As infecções também podem ser causadas por payloads infectados tal como cópias de malware de instaladores de aplicativos ou documentos infectados com macro.
O botnet também pode ser baixado de sites de download falsificados que pode usar um modelo e nome de domínio semelhantes aos de serviços populares e portais conhecidos. Eles também podem usar scripts como pop-ups, redirecionamentos, hiperlinks in-line, banners e etc.
Uma infecção de botnet Mylobot em grande escala pode ser feita usando ataques diretos à rede. Eles são feitos visando possíveis componentes vulneráveis que são carregados em kits de teste de penetração automatizados. Eles podem ser iniciados em toda a rede ao mesmo tempo.
Capacidades de botnet Mylobot
Descobriu-se que o mecanismo de malware botnet Mylobot contém vários componentes que podem se proteger da detecção. Isso evitou que o software de segurança capturasse suas assinaturas. As amostras coletadas demonstraram incluir medidas de proteção especiais que protegem o vírus de todos os tipos de aplicativos. A lista inclui programas antivírus, firewalls, ambientes de depuração e hosts de máquina virtual. As cópias associadas podem ignorar ou remover totalmente o software de segurança. Determinadas amostras de botnet Mylobot podem ser configuradas para remover a si mesmas se não forem capazes de realizar essas etapas.
Uma vez que o mecanismo principal de botnet Mylobot foi implantado nos computadores de destino, ele inicia um colheita de dados componente que é programado para sequestrar os seguintes tipos de dados:
- Outras infecções por vírus - Uma parte importante do mecanismo de botnet Mylobot é que ele é capaz de detectar a presença de outro malware. Ele pode removê-los ou ignorar apenas as ações que podem causar um conflito com sua própria execução.
- Dados pessoais - O botnet Mylobot pode usar um mecanismo complexo que pode coletar muitos dados confidenciais sobre as vítimas. As informações reveladas podem expor a identidade do usuário: o nome deles, endereço, número de telefone, localização, senhas, credenciais da conta e etc.
- campanha Metrics - O mecanismo de coleta de dados pode revelar muitos dados sobre os dispositivos infectados, o que pode levar a otimizações de campanha em ataques subsequentes. Por exemplo, isso pode incluir um perfil de todos os componentes de hardware instalados e etc..
Após a execução do módulo, ele se instalará na máquina de destino como um serviço do sistema. Foi descoberto que desabilita Windows Defender e atualização do Windows junto com muitas portas que normalmente são controladas por meio do Firewall integrado. A análise de segurança revela que todos os serviços do sistema que operam a partir do %DADOS DO APLICATIVO%. Isso pode fazer com que certas funções parem de funcionar e os usuários podem perder dados preciosos.
A principal função do botnet Mylobot é o lançamento de seu componente Trojan. É um motor avançado próprio que pode se conectar a um servidor controlado por hackers e executar comandos remotos, espionar as vítimas e assumir o controle de suas máquinas a qualquer momento. Usando esta conexão segura, também pode ser usado para implantar ameaças adicionais aos alvos.
Como parece ter como alvo computadores em escala global, especulamos que os ataques são dirigidos contra grandes empresas ou redes governamentais. É muito possível que as campanhas de ataque em andamento tenham como alvo apenas um conjunto de computadores cuidadosamente monitorado.
Uso do Mylobot Botnet em ataques futuros
O botnet Mylobot pode ser usado como uma solução eficaz contra uma ampla gama de alvos. A análise de segurança que apresentou seus recursos mostra que o mecanismo subjacente contém muitos módulos que podem contornar várias camadas de segurança - tanto contramedidas de rede quanto instalações de desktop que estão presentes nos hosts individuais. O fato de as cepas capturadas terem sido encontradas após as infecções já terem penetrado nos produtos antivírus mostra que no momento não há informações precisas sobre o número de infecções ativas no mundo.. Seu impacto pode variar de usuários individuais a grandes empresas e até mesmo redes governamentais.
Existem vários cenários de caso de uso possíveis aos quais os hackers podem aderir:
- Ataques diretos - O botnet Mylobot pode ser usado para atingir alvos predefinidos usando os recursos apresentados do mecanismo de vírus.
- Ataque generalizado - O botnet pode ser programado para tentar infectar muitos alvos de uma vez. Isso é feito melhor usando muitas instâncias que são definidas em uma rede predefinida de hosts de destino. As tentativas de infecção geralmente são executadas para funcionar em paralelo.
- payload Entrega - O botnet é usado principalmente para contornar as medidas de segurança. No entanto, em vez de realizar a maior parte das ações maliciosas por si só, ele implanta um vírus secundário que é responsável pela infecção.
- Versões Personalizadas - Amostras Mylobot Botnet são oferecidas nos mercados de hackers clandestinos e personalizadas para determinados alvos.
Em todos os casos, as infecções causadas pelo botnet Mylobot devem ser tratadas com extremo cuidado, pois podem ser muito difíceis de remover. Esperamos ver mais atualizações em seu código, o que pode torná-los ainda mais difíceis de detectar e remover.