Biến thể phần mềm độc hại MyloBot mới Gửi email phân đoạn yêu cầu $ 2,732 bằng Bitcoin

Phân đoạn email

Một phiên bản mới của MyloBot đã được quan sát để triển khai các tải trọng độc hại đang được sử dụng để gửi email phân đoạn yêu cầu nạn nhân trả 2.732 đô la bằng tiền kỹ thuật số.

MyloBot, được phát hiện lần đầu tiên vào năm 2018, được biết là có một loạt các khả năng chống gỡ lỗi tinh vi và kỹ thuật lan truyền để kết nối các máy bị nhiễm vào một mạng botnet, chưa kể đến việc xóa dấu vết của các phần mềm độc hại cạnh tranh khác khỏi hệ thống.

Đứng đầu trong số các phương pháp tránh bị phát hiện và nằm dưới tầm kiểm soát của nó bao gồm thời gian trì hoãn 14 ngày trước khi truy cập vào các máy chủ điều khiển và chỉ huy cũng như cơ sở thực thi các tệp nhị phân độc hại trực tiếp từ bộ nhớ.

MyloBot cũng sử dụng một kỹ thuật gọi là làm rỗng quy trình, trong đó mã tấn công được đưa vào một quy trình bị treo và rỗng để phá vỡ các biện pháp phòng thủ dựa trên quy trình. Điều này đạt được bằng cách giải phóng bộ nhớ được cấp phát cho tiến trình trực tiếp và thay thế nó bằng mã tùy ý sẽ được thực thi, trong trường hợp này là tệp tài nguyên đã được giải mã.

Nhà nghiên cứu Natalie Zargarov của Minerva Labs cho biết: “Giai đoạn thứ hai có thể thực thi sau đó tạo một thư mục mới trong C: ProgramData. “Nó tìm kiếm svchost.exe trong thư mục hệ thống và thực thi nó ở trạng thái bị treo. Sử dụng kỹ thuật tiêm APC, nó tự đưa vào quá trình svchost.exe được tạo ra.”

Xem tiếp:   Google làm gián đoạn Botnet Glupteba dựa trên Blockchain; Kiện tin tặc Nga

Phân đoạn email

APC injection, tương tự như làm rỗng quá trình, cũng là một kỹ thuật chèn quá trình cho phép chèn mã độc vào một quá trình nạn nhân hiện có thông qua hàng đợi lệnh gọi thủ tục không đồng bộ (APC).

Giai đoạn tiếp theo của quá trình lây nhiễm liên quan đến việc thiết lập sự bền bỉ trên máy chủ bị xâm nhập, sử dụng chỗ đứng làm bước đệm để thiết lập liên lạc với máy chủ từ xa để tìm nạp và thực thi một trọng tải, từ đó giải mã và chạy phần mềm độc hại ở giai đoạn cuối.

Phần mềm độc hại này được thiết kế để lạm dụng điểm cuối để gửi tin nhắn tống tiền ám chỉ các hành vi trực tuyến của người nhận, chẳng hạn như truy cập các trang web khiêu dâm và đe dọa làm rò rỉ video được cho là được ghi lại bằng cách đột nhập vào webcam máy tính của họ.

Phân tích của Minerva Labs về phần mềm độc hại cũng cho thấy khả năng các tệp bổ sung, cho thấy rằng kẻ đe dọa đã để lại một cửa hậu để thực hiện các cuộc tấn công tiếp theo.

Zargarov nói: “Kẻ gây ra mối đe dọa này đã gặp rất nhiều khó khăn để loại bỏ phần mềm độc hại và giữ cho nó không bị phát hiện, chỉ để sử dụng nó như một người gửi thư tống tiền. “Botnet rất nguy hiểm vì mối đe dọa sắp tới chưa biết này. Nó có thể dễ dàng thả và thực thi , spyware, worm hoặc các mối đe dọa khác trên tất cả các thiết bị đầu cuối bị nhiễm.”

Xem tiếp:   Tin tặc Iran khai thác lỗ hổng Log4j để triển khai PowerShell Backdoor

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …