Bản đồ các máy tính bị lây nhiễm
Trong quá trình phân tích về cơ sở hạ tầng của MyloBot, các nhà nghiên cứu cho biết các kết nối đến với dịch vụ proxy có tên “BHProxies”, cho thấy rằng các máy bị xâm nhập sẽ được sử dụng bởi dịch vụ proxy này.
Được biết, mạng Botnet MyloBot xuất hiện vào năm 2017 và lần đầu tiên được công ty bảo mật Deep Instinct (Israel) báo cáo vào năm 2018. Báo cáo này chỉ ra các kỹ thuật chống phân tích và khả năng hoạt động như một trình tải xuống của mạng Botnet này.
“Điều khiến Mylobot trở nên nguy hiểm là khả năng tải xuống và thực thi bất kỳ loại payload nào sau khi lây nhiễm vào máy chủ. Điều này có nghĩa là lúc nào Mylobot cũng có thể tải xuống mã độc bất kỳ mà các tin tặc mong muốn", các nhà nghiên cứu tại Bộ phận tình báo về mối đe dọa của hãng công nghệ Lumen (Mỹ) cho biết.
Vào năm 2022, một phiên bản mới của Mylobot đã được phát hiện triển khai các payload độc hại để gửi email tống tiền các nạn nhân trong một chiến dịch tấn công mạng nhằm kiếm về số Bitcoin trị giá hơn 2.700 USD.
Các giai đoạn thực thi của MyloBot
MyloBot sử dụng trình tự nhiều giai đoạn để giải nén và khởi chạy mã độc bot. Đáng chú ý, nó không hoạt động trong 14 ngày trước khi liên hệ với máy chủ C2 để tránh bị phát hiện. Chức năng chính của Botnet là thiết lập kết nối với tên miền C2 được mã hóa cứng nhúng trong mã độc và chờ nhận lệnh để thực thi. BitSight cho biết: “Khi Mylobot nhận được lệnh từ C2, nó sẽ biến máy tính bị nhiễm thành một proxy. Máy bị nhiễm sẽ có thể xử lý nhiều kết nối và chuyển tiếp lưu lượng được gửi qua máy chủ C2 để chỉ huy và kiểm soát".
Các phiên bản tiếp theo của Botnet này được trang bị thêm tính năng của một trình tải xuống. Trình tải xuống có nhiệm vụ liên hệ với máy chủ C2, máy chủ này sẽ phản hồi bằng một thông báo được mã hóa có chứa một liên kết để truy xuất payload MyloBot.
Một trong những địa chỉ IP trong cơ sở hạ tầng C2 của MyloBot đã được tìm thấy và có kết nối với một tên miền có tên “clients.bhproxies[.]com” thông qua một truy vấn DNS ngược (Reverse DNS). Điều này chứng tỏ MyloBot có thể là một phần của một chiến dịch lớn hơn.
BitSight cho biết họ đã bắt đầu đánh sập MyloBot vào tháng 11/2018, tuy nhiên đến nay mạng botnet này vẫn đang tiếp tục phát triển theo thời gian.
Hồng Đạt
(The Hacker News)
10:00 | 03/03/2023
09:00 | 08/06/2023
09:00 | 08/03/2024
09:00 | 13/02/2024
09:00 | 16/02/2023
08:00 | 10/02/2023
15:00 | 26/01/2024
07:00 | 22/10/2024
Một chiến dịch phần mềm độc hại mới nhắm vào lĩnh vực bảo hiểm và tài chính đã được phát hiện bằng cách sử dụng các liên kết GitHub trong các email lừa đảo như một cách để vượt qua các biện pháp bảo mật và phát tán Remcos RAT. Chiến dịch cho thấy phương pháp này đang được các tác nhân đe dọa ưa chuộng.
09:00 | 16/10/2024
Các nhà nghiên cứu của hãng bảo mật Zscaler (Mỹ) đã phân tích một biến thể mới của Copybara, một họ phần mềm độc hại Android xuất hiện vào tháng 11/2021. Copybara là một Trojan chủ yếu lây nhiễm thông qua các cuộc tấn công lừa đảo bằng giọng nói (vishing), trong đó nạn nhân nhận được hướng dẫn qua điện thoại để cài đặt phần mềm độc hại Android. Bài viết sẽ phân tích về biến thể mới của Copybara dựa trên báo cáo của Zscaler.
15:00 | 18/09/2024
Công ty an ninh mạng McAfee thông báo đã phát hiện 280 ứng dụng Android giả mà đối tượng lừa đảo dùng để truy cập ví tiền ảo.
10:00 | 28/08/2024
Theo cảnh báo mới nhất từ Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) các cuộc tấn công bằng mã độc tống tiền BlackSuit đã lan rộng trên nhiều lĩnh vực, cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở hạ tầng của chính phủ và một số cơ sở sản xuất trọng yếu.
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024