WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Botnet MyloBot lây nhiễm hơn 50.000 thiết bị mỗi ngày
Mạng botnet tinh vi có tên MyloBot đã lây lan trên hàng nghìn hệ thống, hầu hết ở Ấn Độ, Hoa Kỳ, Indonesia và Iran.Phát hiện mới từ BitSight chỉ ra "hiện có hơn 50.000 hệ thống bị nhiễm mỗi ngày", giảm hơn mức 250.000 máy chủ năm 2020.
Hơn nữa, một phân tích về cơ sở hạ tầng của MyloBot đã chỉ ra các kết nối với dịch vụ proxy có tên BHProxies. Điều đó cho thấy các máy bị xâm nhập sẽ được sử dụng bởi dịch vụ proxy này.
MyloBot, xuất hiện năm 2017, lần đầu tiên được Deep Instinct báo cáo vào năm 2018. Báo cáo chỉ ra các kỹ thuật chống phân tích, khả năng hoạt động như một trình tải xuống của botnet này.
“Điều khiến Mylobot trở nên nguy hiểm là khả năng tải xuống và thực thi bất kỳ loại payload nào sau khi lây nhiễm vào máy chủ. Điều này có nghĩa là bất cứ lúc nào Mylobot cũng có thể tải xuống phần mềm độc hại mà hacker mong muốn".
Năm ngoái, phần mềm độc hại đã được phát hiện gửi email tống tiền trong một chiến dịch tấn công có động cơ tài chính nhằm kiếm về số Bitcoin trị giá hơn 2.700 USD.
MyloBot sử dụng trình tự nhiều giai đoạn để giải nén và khởi chạy mã độc bot. Đáng chú ý, nó cũng không hoạt động trong 14 ngày trước khi liên hệ với máy chủ C2 để tránh bị phát hiện.
Chức năng chính của botnet là thiết lập kết nối với miền C2 được mã hóa cứng nhúng trong phần mềm độc hại và chờ hướng dẫn thêm.
BitSight cho biết: “Khi Mylobot nhận được hướng dẫn từ C2, nó sẽ biến máy tính bị nhiễm thành một proxy."Máy bị nhiễm sẽ có thể xử lý nhiều kết nối và chuyển tiếp lưu lượng được gửi qua máy chủ chỉ huy và kiểm soát".
Các phiên bản tiếp theo của phần mềm độc hại được trang bị thêm tính năng của một trình tải xuống. Trình tải xuống có nhiệm vụ liên hệ với máy chủ C2, máy chủ này sẽ phản hồi bằng một thông báo được mã hóa có chứa một liên kết để truy xuất payload MyloBot.
Điều này chứng tỏ MyloBot có thể là một phần của một chiến dịch lớn hơn.
Hơn nữa, một phân tích về cơ sở hạ tầng của MyloBot đã chỉ ra các kết nối với dịch vụ proxy có tên BHProxies. Điều đó cho thấy các máy bị xâm nhập sẽ được sử dụng bởi dịch vụ proxy này.
MyloBot, xuất hiện năm 2017, lần đầu tiên được Deep Instinct báo cáo vào năm 2018. Báo cáo chỉ ra các kỹ thuật chống phân tích, khả năng hoạt động như một trình tải xuống của botnet này.
“Điều khiến Mylobot trở nên nguy hiểm là khả năng tải xuống và thực thi bất kỳ loại payload nào sau khi lây nhiễm vào máy chủ. Điều này có nghĩa là bất cứ lúc nào Mylobot cũng có thể tải xuống phần mềm độc hại mà hacker mong muốn".
Năm ngoái, phần mềm độc hại đã được phát hiện gửi email tống tiền trong một chiến dịch tấn công có động cơ tài chính nhằm kiếm về số Bitcoin trị giá hơn 2.700 USD.
MyloBot sử dụng trình tự nhiều giai đoạn để giải nén và khởi chạy mã độc bot. Đáng chú ý, nó cũng không hoạt động trong 14 ngày trước khi liên hệ với máy chủ C2 để tránh bị phát hiện.
Chức năng chính của botnet là thiết lập kết nối với miền C2 được mã hóa cứng nhúng trong phần mềm độc hại và chờ hướng dẫn thêm.
BitSight cho biết: “Khi Mylobot nhận được hướng dẫn từ C2, nó sẽ biến máy tính bị nhiễm thành một proxy.
Các phiên bản tiếp theo của phần mềm độc hại được trang bị thêm tính năng của một trình tải xuống. Trình tải xuống có nhiệm vụ liên hệ với máy chủ C2, máy chủ này sẽ phản hồi bằng một thông báo được mã hóa có chứa một liên kết để truy xuất payload MyloBot.
Điều này chứng tỏ MyloBot có thể là một phần của một chiến dịch lớn hơn.
Theo: The Hacker News