MyKings Botnet

MyKings Botnet (også kendt som Smominru og DarkCloud) er et botnet, der har været i drift i et stykke tid og har en tendens til at målrette upatchede eller under patchede servere, der er Windows-baserede. De pågældende servere har en tendens til at være vært for et udvalg af tjenester - WMI, Telnet, RDP (Remote Desktop Protocol), MS-SQL, ssh, MySQL osv. Ifølge rapporter er de mest berørte lande Kina (18% af alle ofre) , Taiwan (11%), Rusland (7%), Brasilien (7%) og De Forenede Stater (6%). Tilsyneladende har der været 44.000 unikke IP-adresser cirka, som har testet positivt for tilstedeværelsen af MyKings-truslen. Det endelige mål for MyKings Botnet er at installere kryptominere på de kompromitterede værter og bruge Forshare Trojan for at sikre sig, at alle de plantede gruvearbejdere kører som tilsigtet. Kryptominerne, der blev brugt i denne kampagne, er minedrift til Monero cryptocurrency. Det er blevet anslået, at operatørerne af MyKings Botnet indtil videre har genereret en svimlende 9.000 XMR, hvilket er ca. $ 3 millioner.

Fjerner konkurrerende trusler fra den kompromitterede vært

MyKings Botnet er i stand til at genkende, om der er andre malware-stammer, der er til stede på den kompromitterede vært. I tilfælde af, at truslen registrerer tilstedeværelsen af konkurrerende malware, fjernes den for at sikre maksimal effektivitet. Desuden er MyKings malware i stand til at scanne processerne for alle, der kan være knyttet til antivirusværktøjer. Hvis der opdages nogen, vil MyKings-truslen sørge for at afslutte dem, så den kører uafbrudt. MyKings-komponenterne er i stand til selvopdatering, hvilket sikrer, at truslen forbliver potent. Dette opnås ved hjælp af Windows-batchfiler og RAR-arkiver, der er i stand til at udtrække selv.

Bruger steganografi

Operatørerne af MyKings Botnet har valgt at bruge en temmelig nyskabende teknik til at skjule dens ødelagte nyttelast - steganography. Angriberen har plantet den dårlige eksekverbare af truslen i et tilsyneladende ufarligt fotografi af Taylor Swift. De bruger en ændret .jpg-fil til at skjule de ondsindede data. Imidlertid var malware-eksperter i stand til at få øje på det, da det indeholder den typiske MZ-headtekst og byte. Dette trick hjælper MyKings-truslen med at anvende sine nyeste opdateringer. MyKings-truslen vil manipulere med Windows-registreringsdatabasen for at vinde for at få vedholdenhed på den inficerede vært. En bootkit sørger for, at MyKings malware køres ved genstart af systemet.

MyKings Botnet, indtil videre, genererede hs en imponerende mængde kontanter for dens operatører, og når de husker, at de fortsat opdaterer truslen, er det sandsynligt, at de ikke vil stoppe denne operation i den nærmeste fremtid.