Tática de infecção por malware distribuída globalmente é identificada

O Mylobot contém técnicas sofisticados de anti-virtual machine e anti-sandboxing para evitar a detecção e a análise, tal como se manter inativo por 14 dias antes de tentar contatar o servidor de comando e controle

Compartilhar:

Com a habilidade de baixar outros tipos de malware após infectar um computador, o botnet Mylobot está demonstrando sua capacidade para roubar informação, de acordo com um novo relatório da CenturyLink, Inc. O Mylobot contém técnicas sofisticados de anti-virtual machine e anti-sandboxing para evitar a detecção e a análise, tal como se manter inativo por 14 dias antes de tentar contatar o servidor de comando e controle (C2).

 

No entanto, desde que foi identificado em junho de 2018, o Laboratório de Pesquisas sobre Ameaças da CenturyLink observou o Mylobot baixando Khalesi, uma família de malware disseminada para o roubo de informação, executada como uma segunda etapa de ataques nos hosts infectados.

 

“O que torna o Mylobot tão perigoso é sua capacidade de baixar e executar qualquer outro tipo de carga essencial que o atacante desejar, e agora temos evidência de que uma dessas cargas é o Khalesi”, disse Mike Benjamin, chefe do Laboratório de Pesquisas sobre Ameaças da CenturyLink. “Ao analisar as tendências e métodos globais de ataque de botnets, a CenturyLink pode se antecipar e responder melhor às ameaças em constante evolução, tais como o Mylobot, para defender a nossa própria rede e as de nossos clientes”.

 

Principais Mensagens

 

O Laboratório de Pesquisas sobre Ameaças da CenturyLink observou cerca de 18.000 IPs exclusivos se comunicando com C2s do Mylobot.

Os 10 principais países que originaram os IPs infectados foram Iraque, Irã, Argentina, Rússia, Vietnã, China, Índia, Arábia Saudita, Chile e Egito.

A CenturyLink bloqueou a infraestrutura do Mylobot em sua rede para mitigar o risco a seus clientes e notificou os provedores de dispositivos infectados para ajuda-los a mitigar as infecções de Mylobot.

Para as empresas que estão monitorando DNS, o Mylobot pode ser detectado através das até 60.000 consultas de sistemas de nome de domínio (DNS) que os hosts infectados conduzem ao tentar contatar o C2.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Threat Intel detecta nova técnica de ransomware executado pelo navegador

Especialistas mostram que modelo de IA conectou recursos legítimos do navegador para construir uma cadeia prática de ataque sem exploração...
Security Report | Overview

Project Lightwell: Players de TI formam parceria contra vulnerabilidades de software

Parceria une descoberta de falhas, aplicação de patches virtuais e remediação automatizada para neutralizar ameaças Cibernéticas na velocidade da inteligência...
Security Report | Overview

ANPD abre processo sancionador contra instituto de saúde por vazamento de dados

Ataque cibernético de ransomware expôs dados sensíveis de saúde de usuários de unidades públicas geridas pelo Instituto Saúde e Cidadania....
Security Report | Overview

Defesa Civil: MFA se torna demanda urgente, alerta inteligência de ameaças

Especialistas alertam para os riscos do uso de credenciais legítimas comprometidas em sistemas críticos e destacam a urgência de aplicar...