Сложен ботнет, нареченMylobot, е компрометирал десетки хиляди системи по целия свят, засягайки най-вече тези от Индия, САЩ, Индонезия и Иран.
За тези, които не знаят, ботнетът е мрежа от компютри, заразени със зловреден софтуер и контролирани без знанието на собственика, за да изпращат спам съобщения, да разпространяват зловреден софтуер и да крадат чувствителни данни.
BitSight, компания за оценка на киберсигурността, заяви, че в момента регистрира повече от 50 000 уникални системи, заразени с ботнета Mylobot всеки ден. Въпреки че това е намаление от 250 000 заразени в началото на 2020 г., BitSight вярва, че те виждат само част от пълния ботнет.
Mylobot беше документиран за първи път през 2018 г. от компанията за киберсигурност Deep Instinct, която установи, че ботнетът има техники за антианализ и способности за изтегляне. Няколко месеца по-късно ботнетът беше наблюдаван и от Black Lotus Labs на технологичната компания Lumen. „Това, което прави Mylobot опасен, е способността му да изтегля и изпълнява всякакъв тип полезен товар, след като зарази приемната машина“, се казва в нейния блог. „Това означава, че по всяко време може да изтегли всеки друг вид зловреден софтуер, който атакуващият желае.“
Ботнетът Mylobot има следните характеристики:
Антивиртуална машина, пясъчна среда и техники за отстраняване на грешки
Обвиване на вътрешни части с криптиран ресурсен файл
Инжектиране на код
Подмяна: експлойт за сигурност, при който нападател премахва код в изпълним файл и го заменя със злонамерен
Рефлективни EXE файлове: актът на изпълнение на изпълнителни EXE файлове директно от паметта, без да ги има на диска
Най-забележителното обаче е, че Mylobot може да остане неактивен в продължение на 14 дни, за да избегне откриването. След като този период изтече, ботнетът се свързва със своя център за командване и контрол (C&C) и чака допълнителни инструкции. След като получи своите директиви, той трансформира заразения компютър в прокси. След това заразената машина ще може да обработва различни връзки и да предава трафик, изпратен през C&C сървъра.
През 2020 г. беше установено, че ботнетът Mylobot изпраща имейли за изнудване до потребители въз основа на тяхното онлайн използване. Ако потребител посети порнографски уебсайт, той по-късно ще получи имейл, който заплашва да изтече изричното му видео, записано чрез уеб камерата, освен ако не плати около 2700 долара в криптовалута.
За да защитите системите си от ботнет атаки, поддържайте програмите си актуализирани, тъй като това не позволява на злонамерения софтуер на ботнет да използва софтуерни уязвимости. Наблюдавайте отблизо и вашата мрежа за необичайна мрежова активност. И накрая, въздържайте се от отваряне на файлове от неизвестни или подозрителни източници.
Снимка: Unsplash
Виж още: Рансъмуерът MortalKombat е нова заплаха за компютрите в САЩ