seostock
21.06.2018, 15:21
Загрузчик Mylobot оснащен разнообразными средствами предотвращения анализа и обнаружения.
Исследователи из компании Deep Instinctсообщили (https://www.deepinstinct.com/2018/06/20/meet-mylobot-a-new-highly-sophisticated-never-seen-before-botnet-thats-out-in-the-wild/)о появлении нового ботнета, операторы которого используют загрузчик Mylobot для заражения устройств различным вредоносным ПО – от майнеров криптовалюты до кейлогеров, банковских троянов и программ-вымогателей. Особенность Mylobot заключается в использовании уникального набора самых современных техник.
В частности, Mylobot оснащен разнообразными средствами предотвращения анализа и обнаружения. К примеру, он умеет определять свой запуск в песочнице, виртуальной машине и под отладчиком, может принудительно завершать процессы Windows Defender и Центра обновлений Windows, а также блокировать дополнительные порты в межсетевом экране Windows.
Файл ресурсов Mylobot зашифрован, выполнение вредоносного кода происходит бесфайловым методом. Вредонос также использует нестандартную технику внедрения кода, называемую Process Hollowing (с ее помощью атакующие создают процессы в состоянии ожидания и заменяют образ процесса образом, который хотят скрыть). Заразив устройство, Mylobot выжидает две недели прежде чем связаться с управляющим сервером.
Структура кода Mylobot довольно сложная. Вредонос содержит три слоя файлов, вложенных один в другой, причем каждый слой отвечает за исполнение следующего.
Помимо загрузки вредоносного ПО, Mylobot также может использоваться для осуществления DDoS-атак. В кампании, обнаруженной исследователями, Mylobot загружал на компьютеры жертв бэкдор DorkBot. В настоящее время эксперты затрудняются сказать, каким образом распространяется вредонос.
Загрузчик безжалостно расправляется с конкурентами на инфицированных устройствах, сверяя список запущенных процессов с содержимым папки %APPDATA%, куда обычно сохраняются вредоносные файлы. Выявив совпадение, Mylobot завершает процесс и удаляет соответствующий exe-файл.
Специалисты пока не могут сказать, кто стоит за Mylobot, но сложность и уникальное поведение говорят о том, что авторы вредоноса отнюдь не аматоры.
https://www.securitylab.ru/news/494038.php (https://www.securitylab.ru/news/494038.php?ref=123)
Исследователи из компании Deep Instinctсообщили (https://www.deepinstinct.com/2018/06/20/meet-mylobot-a-new-highly-sophisticated-never-seen-before-botnet-thats-out-in-the-wild/)о появлении нового ботнета, операторы которого используют загрузчик Mylobot для заражения устройств различным вредоносным ПО – от майнеров криптовалюты до кейлогеров, банковских троянов и программ-вымогателей. Особенность Mylobot заключается в использовании уникального набора самых современных техник.
В частности, Mylobot оснащен разнообразными средствами предотвращения анализа и обнаружения. К примеру, он умеет определять свой запуск в песочнице, виртуальной машине и под отладчиком, может принудительно завершать процессы Windows Defender и Центра обновлений Windows, а также блокировать дополнительные порты в межсетевом экране Windows.
Файл ресурсов Mylobot зашифрован, выполнение вредоносного кода происходит бесфайловым методом. Вредонос также использует нестандартную технику внедрения кода, называемую Process Hollowing (с ее помощью атакующие создают процессы в состоянии ожидания и заменяют образ процесса образом, который хотят скрыть). Заразив устройство, Mylobot выжидает две недели прежде чем связаться с управляющим сервером.
Структура кода Mylobot довольно сложная. Вредонос содержит три слоя файлов, вложенных один в другой, причем каждый слой отвечает за исполнение следующего.
Помимо загрузки вредоносного ПО, Mylobot также может использоваться для осуществления DDoS-атак. В кампании, обнаруженной исследователями, Mylobot загружал на компьютеры жертв бэкдор DorkBot. В настоящее время эксперты затрудняются сказать, каким образом распространяется вредонос.
Загрузчик безжалостно расправляется с конкурентами на инфицированных устройствах, сверяя список запущенных процессов с содержимым папки %APPDATA%, куда обычно сохраняются вредоносные файлы. Выявив совпадение, Mylobot завершает процесс и удаляет соответствующий exe-файл.
Специалисты пока не могут сказать, кто стоит за Mylobot, но сложность и уникальное поведение говорят о том, что авторы вредоноса отнюдь не аматоры.
https://www.securitylab.ru/news/494038.php (https://www.securitylab.ru/news/494038.php?ref=123)