Sofistikovani botnet poznat kao MyloBot kompromitovao je hiljade sistema, od kojih se većina nalazi u Indiji, SAD-u, Indoneziji i Iranu.
Prema novim nalazima BitSight-a, koji kaže da “trenutno viđa više od 50.000 jedinstvenih zaraženih sistema svaki dan”, što je pad s 250.000 jedinstvenih hostova iz 2020. godine.
Nadalje, analizom MyloBot infrastrukture pronađene su veze sa rezidencijalnim proxy servisom koji se zove BHProxies, što ukazuje da kompromitovane mašine koriste isti.
MyloBot, koji se pojavio u okruženju pretnji 2017. godine, prvi je dokumentovao Deep Instinct 2018. godine, navodeći njegove tehnike protiv analize i njegovu sposobnost da funkcioniše kao program za preuzimanje.
“Ono što MyloBot čini opasnim je njegova sposobnost preuzimanja i izvršavanja bilo koje vrste payload-a nakon što zarazi host” rekao je Lumenov Black Lotus Labs u novembru 2018. godine. “To znači da u svakom trenutku može preuzeti bilo koju drugu vrstu malicioznog softvera koju napadač želi.”
Prošle godine, maliciozni softver je primjećen kako šalje email-ove za iznudu sa hakovanih krajnjih tačaka kao dio finansijski motivisane kampanje tražeći preko 2.700 dolara u Bitcoin-u.
Poznato je da MyloBot koristi sekvencu u više faza za raspakivanje i pokretanje malicioznog softvera bota. Primjetno, on takođe miruje 14 dana prije nego što pokuša kontaktirati komandno-kontrolni (C2) server kako bi zaobišao detekciju.
Primarna funkcija botneta je da uspostavi vezu sa tvrdo kodiranom C2 domenom ugrađenom u maliciozni softver i čeka dalja uputstva.
“Kada Mylobot primi instrukciju od C2, on transformiše zaraženi računar u proxy.” rekao je BitSight. “Zaražena mašina će moći da obrađuje mnoge veze i prenosi saobraćaj poslan preko servera za komandu i kontrolu.”
Naknadne iteracije malicioznog softvera su iskoristile program za preuzimanje koji, zauzvrat, kontaktira C2 server, koji odgovara šifrovanom porukom koja sadrži vezu za preuzimanje MyloBot payload-a.
Dokazi da bi MyloBot mogao biti dio nečeg većeg proizilaze iz obrnutog DNS traženja jedne od IP adresa povezanih sa C2 infrastrukturom botneta koji je otkrio veze sa domenom pod nazivom “clients.bhproxies[.]com.”
Kompanija za kibernetičku bezbjednost sa sjedištem u Bostonu rekla je da je počela s potapanjem MyloBota u novembru 2018. godine i da nastavlja da vidi kako se botnet razvija tokom vremena.
Izvor: The Hacker News