Ботнет «Mylobot» заражає 50 000 пристроїв на день по всьому світу

Складний ботнет під назвою «Mylobot» зламав десятки тисяч систем по всьому світу, вразивши переважно системи з Індії, США, Індонезії та Ірану. Для тих, хто не в курсі, ботнет — це мережа комп’ютерів, заражених шкідливим програмним забезпеченням, які контролюються без відома власника для надсилання спаму, розповсюдження шкідливого програмного забезпечення та викрадення конфіденційних даних.

BitSight, рейтингова компанія з кібербезпеки, заявила, що наразі щодня реєструє понад 50 000 унікальних систем, заражених ботнетом Mylobot. Хоча це зменшення з 250 000 на початку 2020 року, BitSight вважає, що вони бачать лише частину повного ботнету.

Mylobot вперше був задокументований у 2018 році компанією з кібербезпеки Deep Instinct, яка виявила, що ботнет має методи антианалізу та можливості завантажувача. Кілька місяців потому ботнет також спостерігала технологічна компанія Lumen Black Lotus Labs. «Що робить Mylobot небезпечним, так це його здатність завантажувати та виконувати будь-який тип корисного навантаження після того, як він заражає хост», — йдеться в його блозі. «Це означає, що в будь-який момент він може завантажити будь-який інший тип зловмисного програмного забезпечення, яке захоче зловмисник».

Ботнет Mylobot має такі особливості:

• Антивіртуальна машина, пісочниця та методи налагодження
• Обертання внутрішніх частин зашифрованим файлом ресурсів
• Введення коду
• Поглинання процесу: експлойт безпеки, коли зловмисник видаляє код у виконуваному файлі та замінює його шкідливим кодом
• Reflective EXE: процес виконання файлів EXE безпосередньо з пам’яті, без їх зберігання на диску.

Однак найпомітніше, що Mylobot може залишатися бездіяльним протягом 14 днів, щоб уникнути виявлення. Після закінчення цього періоду ботнет зв’язується зі своїм командно-контрольним центром (C&C) і чекає подальших інструкцій. Отримавши директиви, він перетворює заражений ПК на проксі. Після цього заражена машина зможе обробляти різноманітні з’єднання та ретранслювати трафік, надісланий через сервер C&C.

У 2020 році було виявлено, що ботнет Mylobot надсилає користувачам електронні листи з вимаганням на основі їх використання в Інтернеті. Якщо користувач відвідував порнографічний сайт, він пізніше отримував електронний лист із загрозою витоку свого відвертого відео, записаного через камеру, якщо він не заплатить близько 2700 доларів у криптовалюті.

Щоб захистити свої системи від атак ботнетів, постійно оновлюйте свої програми, оскільки це запобігає використанню зловмисним програмним забезпеченням ботнетів уразливостей програмного забезпечення. Також уважно стежте за своєю мережею на предмет незвичної мережевої активності. Нарешті, утримайтеся від відкриття файлів із невідомих або підозрілих джерел.