Tyxo.bg counter

Внимание, Mylobot!

Изследователи откриха нов злонамерен софтуер, базиран на известни криптовируси, но много по-сложен и опасен

Нова хакерска кампания “отвлича” системи и ги превръща в ботнет, като осигурява на нападателите пълен контрол над жертвите. Освен това, заразените устройства стават елементарна цел за троянски коне, DDoS атаки и всевъзможни други престъпни схеми.

 Злонамереният софтуер е оборудван с три различни слоя техники за избягване на защити, описани от изследователите от доставчика на решения за киберсигурност Deep Instinct, според които тази разновидност е изключително сложна и рядко срещана.

Произходът на Mylobot, както е наречен новият вирус, както и начинът му на доставка до крайните устройства, все още са забулени в мистерия, Според изследователите обаче е много вероятно той да произлиза от криптовируса Locky - една от най-сериозните форми на злонамерен софтуер през изминалата година.

Сложният характер на ботнета предполага, че хората зад него далеч не са аматьори, тъй като Mylobot разчита на множество различни техники за избягване на защитите и детекторите. Те включват инструменти за разпознаване на “пясъчници”, криптирани файлове и рефлекторен EXE файл, който се изпълнява директно от паметта, без да има нужда да е на твърдия диск. Последната техника е рядко срещана и е открита едва през 2016 г., като основната и функция е да затруднява откриването и проследяването на зловредния софтуерОще повече, че Mylobot включва и механизъм за забавяне, който чака цели две седмици, преди да се свърже със сървърите за команди и контрол на нападателя, което също е механизъм за избягване на защитите.

"Целта на 14-дневния сън е да се избегне всякаква мрежова или зловредна дейност, като по този начин се приспи бдителността на системите за защита, а след това пробивът става факт", коментира Том Ниправски, изследовател по сигурността в Deep Instinct.

Веднъж инсталиран в системата, Mylobot изключва Windows Defender и Windows Update, като същевременно блокира допълнителните портове на защитната стена. По друг начин казано, новият злонамерен софтуер си гарантира, че нищо няма да може да препятства дейността му. За целта Mylobot активно разпознава и изтрива и всички други видове злонамерен софтуер, инсталирани преди това на устройството като част от други ботнет мрежи, ако има такива. Причините за това са съвсем разбираеми - премахване на конкуренцията, за да се гарантира, че нападателите ще получат цялостен контрол над най-голямата мрежа от заразени компютри, за да се възползват максимално от злоупотребата с тях.

След като компютърът е част от ботнета, нападателят може да упражни пълен контрол над системата и да я натовари с каквито пожелае задачи и инструкции от сървъра за управление и контрол.

"Щетите зависят от това, което атакуващият пожелае да направи. То може да варира от свалянето и изпълнението на криптовируси или троянски коне до кражба на банкови акаунти и т.н. Като цяло това може да доведе до загуба на огромно количество данни и необходимост от спиране на цели системи, което може да се превърне в истинско бедствие за всяка компания”, предупреждава Ниправски. Изследователите не разясняват какъв допълнителен полезен товар изтегля Mylobot, но анализът на командните и контролните домейни, свързани него, показва връзка с други криптовируси от рода на Locky.

"Според нашите изследвания IP адресът на C&C сървъра за пръв път е засечен през ноември 2015 г. и е свързан с криптовирусите DorkBot, Locky и Ramdo", обръща внимание Ниправски.

И тъй като C&C е активен от две години и половина, това предполага, че екипът, който стои зад Mylobot, също е действал от известно време насам, а тактиките, които използва, предполагат добре премерена и финансирана организация.

"Ботнетът се опитва да се свърже с 1404 различни домейна, въпреки че по време на изследванията ни само един беше активен. Наличието на толкова много регистрирани домейни е индикация за сериозни ресурси", коментира Ниправски.

Към момента злонамереният софтуер Mylobot не е широко разпространен и все още не е ясно кой е нападателят зад него и каква е крайната му цел. Но едно е сигурно – това не е елементарна, аматьорска операция, а добре замислена и финансирана кампания. 

още по темата

Колко пари може да спечели на създателя си един криптовирус?

Според компанията за киберсигурност Sophos авторът на SamSam, който удари Атланта по-рано тази година, е спечелил близо 6 млн. долара
02.08.2018 / 02:12
Twitter icon Facebook icon
Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук.