MyloBot Botnet lây lan nhanh chóng trên toàn thế giới: Lây nhiễm hơn 50.000 thiết bị mỗi ngày

MyloBot Botnet

Một mạng botnet phức tạp có tên MyloBot đã xâm nhập hàng nghìn hệ thống, hầu hết nằm ở Ấn Độ, Mỹ, Indonesia và Iran.

Đó là theo những phát hiện mới từ BitSight, họ cho biết “hiện có hơn 50.000 hệ thống bị nhiễm mỗi ngày”, giảm từ mức cao 250.000 máy chủ duy nhất vào năm 2020.

MyloBot, xuất hiện vào năm 2017, lần đầu tiên được Deep Instinct ghi lại vào năm 2018, chỉ ra các kỹ thuật chống phân tích và khả năng hoạt động như một trình tải xuống.

“Điều khiến Mylobot trở nên nguy hiểm là khả năng tải xuống và thực thi bất kỳ loại tải trọng (payload) nào sau khi nó lây nhiễm vào máy chủ,” Black Lotus Labs của Lumen cho biết vào tháng 11 năm 2018. “Điều này có nghĩa là bất cứ lúc nào nó cũng có thể tải xuống bất kỳ loại phần mềm độc hại nào khác mà kẻ tấn công muốn. “

Năm ngoái, phần mềm độc hại đã được phát hiện gửi email tống tiền từ các điểm cuối bị tấn công như một phần của chiến dịch có động cơ tài chính nhằm tìm kiếm hơn 2.700 đô la Bitcoin.

MyloBot Botnet

MyloBot được biết là sử dụng trình tự nhiều giai đoạn để giải nén và khởi chạy phần mềm bot độc hại . Đáng chú ý, nó cũng không hoạt động trong 14 ngày trước khi cố gắng liên hệ với máy chủ chỉ huy và kiểm soát (C2) để tránh bị phát hiện.

Chức năng chính của botnet là thiết lập kết nối với miền C2 được mã hóa cứng được nhúng trong phần mềm độc hại và chờ hướng dẫn thêm.

BitSight cho biết: “Khi Mylobot nhận được hướng dẫn từ C2, nó sẽ biến máy tính bị nhiễm thành một proxy. “Máy bị nhiễm sẽ có thể xử lý nhiều kết nối và chuyển tiếp lưu lượng được gửi qua máy chủ chỉ huy và kiểm soát.”

Các lần lặp lại tiếp theo của phần mềm độc hại đã tận dụng một trình tải xuống, đến lượt nó, liên hệ với máy chủ C2, máy chủ này sẽ phản hồi bằng một thông báo được mã hóa có chứa một liên kết để truy xuất tải trọng MyloBot.

MyloBot Botnet

Bằng chứng cho thấy MyloBot có thể là một phần của thứ gì đó lớn hơn bắt nguồn từ việc tra cứu DNS ngược của một trong các địa chỉ IP được liên kết với cơ sở hạ tầng C2 của botnet đã tiết lộ mối liên hệ với một miền có tên “clients.bhproxies[.]com.”

THN – An Toàn Thông Tin (Security365)

Trả lời

Bạn cần phải đăng nhập để gửi bình luận:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s