Tática de infecção por malware distribuída globalmente é identificada

O Mylobot contém técnicas sofisticados de anti-virtual machine e anti-sandboxing para evitar a detecção e a análise, tal como se manter inativo por 14 dias antes de tentar contatar o servidor de comando e controle

Compartilhar:

Com a habilidade de baixar outros tipos de malware após infectar um computador, o botnet Mylobot está demonstrando sua capacidade para roubar informação, de acordo com um novo relatório da CenturyLink, Inc. O Mylobot contém técnicas sofisticados de anti-virtual machine e anti-sandboxing para evitar a detecção e a análise, tal como se manter inativo por 14 dias antes de tentar contatar o servidor de comando e controle (C2).

 

No entanto, desde que foi identificado em junho de 2018, o Laboratório de Pesquisas sobre Ameaças da CenturyLink observou o Mylobot baixando Khalesi, uma família de malware disseminada para o roubo de informação, executada como uma segunda etapa de ataques nos hosts infectados.

 

“O que torna o Mylobot tão perigoso é sua capacidade de baixar e executar qualquer outro tipo de carga essencial que o atacante desejar, e agora temos evidência de que uma dessas cargas é o Khalesi”, disse Mike Benjamin, chefe do Laboratório de Pesquisas sobre Ameaças da CenturyLink. “Ao analisar as tendências e métodos globais de ataque de botnets, a CenturyLink pode se antecipar e responder melhor às ameaças em constante evolução, tais como o Mylobot, para defender a nossa própria rede e as de nossos clientes”.

 

Principais Mensagens

 

O Laboratório de Pesquisas sobre Ameaças da CenturyLink observou cerca de 18.000 IPs exclusivos se comunicando com C2s do Mylobot.

Os 10 principais países que originaram os IPs infectados foram Iraque, Irã, Argentina, Rússia, Vietnã, China, Índia, Arábia Saudita, Chile e Egito.

A CenturyLink bloqueou a infraestrutura do Mylobot em sua rede para mitigar o risco a seus clientes e notificou os provedores de dispositivos infectados para ajuda-los a mitigar as infecções de Mylobot.

Para as empresas que estão monitorando DNS, o Mylobot pode ser detectado através das até 60.000 consultas de sistemas de nome de domínio (DNS) que os hosts infectados conduzem ao tentar contatar o C2.

 

Conteúdos Relacionados

Security Report | Overview

Ataques cibernéticos crescem cerca de 70% no Brasil em um ano

Os pesquisadores da Check Point Software relatam ainda o maior aumento de ciberataques globais visto nos últimos dois anos, um...
Security Report | Overview

Espiões Cibernéticos respondem pela maioria dos ataques Zero Day, revela análise

Segundo o Google, entre fevereiro de 2020 e março de 2021, foram identificados 11 grupos diferentes explorando 22 vulnerabilidades Zero...
Security Report | Overview

77% dos usuários já tiveram fricção com autenticações por senhas, alerta estudo

Estudo da Unico com o Instituto Locomotiva também informa que 45% desses entrevistados chegaram a enfrentar perdas financeiras. Tais problemas...
Security Report | Overview

Ministério Público Federal entra com ação judicial contra WhatsApp e ANPD

Maior ação judicial da história do Brasil em proteção de dados pessoais tem como base as alterações aplicadas em 2021...