Se ha observado que una nueva versión del malware MyloBot implementa cargas maliciosas que se utilizan para enviar correos electrónicos de sextorsión que exigen a las víctimas que paguen $ 2,732 en moneda digital.
milobotdetectado por primera vez en 2018, se sabe que característica una serie de sofisticadas capacidades anti-depuración y técnicas de propagación para conectar las máquinas infectadas a una red de bots, sin mencionar la eliminación de rastros de otro malware de la competencia de los sistemas.
El principal de sus métodos para evadir la detección y permanecer bajo el radar incluía una demora de 14 días antes de acceder a sus servidores de comando y control y la instalación para ejecutar archivos binarios maliciosos directamente desde la memoria.
MyloBot también aprovecha una técnica llamada proceso de vaciado, en el que el código de ataque se inyecta en un proceso suspendido y vacío para eludir las defensas basadas en procesos. Esto se logra al desasignar la memoria asignada al proceso en vivo y reemplazarla con el código arbitrario que se ejecutará, en este caso, un archivo de recursos decodificado.
«El ejecutable de la segunda etapa crea una nueva carpeta en C:ProgramData«, investigadora de Minerva Labs Natalie Zargarov dicho en un informe «Se busca svchost.exe bajo un directorio del sistema y lo ejecuta en estado suspendido. Usando una técnica de inyección de APC, se inyecta en el proceso svchost.exe generado».
inyección de APCsimilar al vaciado de procesos, también es una técnica de inyección de procesos que permite la inserción de código malicioso en un proceso víctima existente a través de la llamada de procedimiento asíncrono (APC) cola.
La siguiente fase de la infección consiste en establecer la persistencia en el host comprometido, utilizando el punto de apoyo como trampolín para establecer comunicaciones con un servidor remoto para obtener y ejecutar una carga útil que, a su vez, decodifica y ejecuta el malware de etapa final.
Este malware está diseñado para abusar del punto final para enviar mensajes de extorsión que aluden a los comportamientos en línea de los destinatarios, como visitar sitios pornográficos y amenazar con filtrar un video que supuestamente se grabó al irrumpir en la cámara web de sus computadoras.
El análisis de Minerva Labs del malware también revela su capacidad para descargar archivos adicionales, lo que sugiere que el actor de amenazas dejó una puerta trasera para llevar a cabo más ataques.
“Este actor de amenazas pasó por muchos problemas para colocar el malware y mantenerlo sin ser detectado, solo para usarlo como un remitente de correo de extorsión”, dijo Zargarov. «Las redes de bots son peligrosas precisamente por esta próxima amenaza desconocida. Podría fácilmente colocar y ejecutar ransomware, spyware, gusanos u otras amenazas en todos los puntos finales infectados».
