Tática de infecção por malware distribuída globalmente é identificada

O Mylobot contém técnicas sofisticados de anti-virtual machine e anti-sandboxing para evitar a detecção e a análise, tal como se manter inativo por 14 dias antes de tentar contatar o servidor de comando e controle

Compartilhar:

Com a habilidade de baixar outros tipos de malware após infectar um computador, o botnet Mylobot está demonstrando sua capacidade para roubar informação, de acordo com um novo relatório da CenturyLink, Inc. O Mylobot contém técnicas sofisticados de anti-virtual machine e anti-sandboxing para evitar a detecção e a análise, tal como se manter inativo por 14 dias antes de tentar contatar o servidor de comando e controle (C2).

 

No entanto, desde que foi identificado em junho de 2018, o Laboratório de Pesquisas sobre Ameaças da CenturyLink observou o Mylobot baixando Khalesi, uma família de malware disseminada para o roubo de informação, executada como uma segunda etapa de ataques nos hosts infectados.

 

“O que torna o Mylobot tão perigoso é sua capacidade de baixar e executar qualquer outro tipo de carga essencial que o atacante desejar, e agora temos evidência de que uma dessas cargas é o Khalesi”, disse Mike Benjamin, chefe do Laboratório de Pesquisas sobre Ameaças da CenturyLink. “Ao analisar as tendências e métodos globais de ataque de botnets, a CenturyLink pode se antecipar e responder melhor às ameaças em constante evolução, tais como o Mylobot, para defender a nossa própria rede e as de nossos clientes”.

 

Principais Mensagens

 

O Laboratório de Pesquisas sobre Ameaças da CenturyLink observou cerca de 18.000 IPs exclusivos se comunicando com C2s do Mylobot.

Os 10 principais países que originaram os IPs infectados foram Iraque, Irã, Argentina, Rússia, Vietnã, China, Índia, Arábia Saudita, Chile e Egito.

A CenturyLink bloqueou a infraestrutura do Mylobot em sua rede para mitigar o risco a seus clientes e notificou os provedores de dispositivos infectados para ajuda-los a mitigar as infecções de Mylobot.

Para as empresas que estão monitorando DNS, o Mylobot pode ser detectado através das até 60.000 consultas de sistemas de nome de domínio (DNS) que os hosts infectados conduzem ao tentar contatar o C2.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Serpro nega ser alvo de hacker preso em Pernambuco

Estatal reafirma que sistemas seguem íntegros e não houve comprometimento de dados sob sua guarda
Security Report | Overview

Febraban divulga medidas de reforço à integridade do sistema financeiro

Federação divulga ação do Banco Central contra fraudes e crimes cibernéticos, destaca preservação do Pix e defende regras mais duras...
Security Report | Overview

F5 adquire organização de segurança de IA empresarial por 180 milhões de dólares

Movimento pode evidenciar a crescente preocupação com a implementação de estratégias para a IA empresarial e a necessidade de novas...
Security Report | Overview

ANPD assina acordo com autoridade dos Emirados Árabes para proteção de dados

Segundo o organização, a iniciativa é uma tentativa de fortalecer a cooperação entre países para a proteção de dados pessoais,...