Descubierto por los investigadores de seguridad de Deep Instinct, el malware MyloBot permite a los ciberdelincuentes tomar el control
del dispositivo infectado y hacer que forme parte de una red zombi para llevar
a cabo diferentes actividades maliciosas, como por ejemplo; realizar ataques de
denegación distribuida (DDoS), propagar malware o infectar el sistema con
ransomware, etc. Sin embargo, entre otras actividades también deshabilita el
programa antivirus, actualizaciones de Windows, el servicio de Windows Defender
y elimina otros programas maliciosos instalados en el sistema. Los
investigadores creen que nunca antes habían visto un malware de tal complejidad
en términos de amplitud de sus diversas herramientas, especialmente en lo
que respecta a técnicas de evasión.
Según un análisis de Tom Nipravsky, un investigador de seguridad de Deep
Instinct, la lista de técnicas empleadas por Mylobot incluye técnicas anti-VM,
anti-sandbox y anti-depuración; uso de recursos encriptados; inyección de
código; vaciamiento de proceso (donde un atacante crea un nuevo proceso en un
estado suspendido, y reemplaza su imagen con la que se va a ocultar); EXE
reflexivo, que implica la ejecución de archivos EXE directamente desde la
memoria, sin tenerlos en el disco; y un mecanismo de demora de 14 días antes de
acceder a sus servidores de C&C.
"La estructura del código en sí es muy compleja: es un malware de subprocesos múltiples en el que cada subproceso se encarga de implementar diferentes capacidades del malware", según explica Nipravsky. "El malware contiene tres capas de archivos, anidados entre sí, donde cada capa se encarga de ejecutar la siguiente, y con la última capa usando la técnica EXE reflexivo. El hecho de que todo tenga lugar en la memoria (mientras se ejecuta la lógica de negocio principal de la botnet en un proceso externo mediante la inyección de código) hace que sea aún más difícil de detectar y rastrear”.
En términos de función, Mylobot puede usarse para descargar cualquier carga
útil que elijan los ciberatacantes, ya sea criptominería, ransomware, troyanos
bancarios, spyware u otro tipo de malware, así como para ataques DDoS. En la
campaña examinada estaba descargando la puerta trasera de DorkBot. El método de
entrega actual del malware es desconocido.
"Algo importante a mencionar es que el C&C no está alojando el binario de DorkBot, sino que ordena al malware que descargue DorkBot de otro servidor", explica Nipravsky. "La funcionalidad principal de la botnet permite a un atacante tomar el control total del sistema del usuario, y se comporta como una puerta para descargar cargas adicionales de los servidores de comando y control". Mylobot también busca otro malware en las máquinas de destino y desactiva todo lo que encuentre.
El estudio realizado sobre una muestra de este malware revela que sus
operaciones se llevan a cabo desde la Dark Web (red oscura) mientras que su
sistema de comando y control (C & C) también forma parte de otras campañas
maliciosas.
Mas información:
https://www.deepinstinct.com/2018/06/20/meet-mylobot-a-new-highly-sophisticated-never-seen-before-botnet-thats-out-in-the-wild/
http://www.itdigitalsecurity.es/endpoint/2018/06/la-botnet-mylobot-presenta-complejas-tecnicas-de-evasion
https://www.hackread.com/meet-mylobot-malware-turning-windows-devices-into-botnet/
https://www.osi.es/es/servicio-antibotnet/info/dorkbot
http://www.itdigitalsecurity.es/endpoint/2018/06/la-botnet-mylobot-presenta-complejas-tecnicas-de-evasion
https://www.hackread.com/meet-mylobot-malware-turning-windows-devices-into-botnet/
https://www.osi.es/es/servicio-antibotnet/info/dorkbot