MyKings Botnet

MyKings Botnet (poznat i kao Smominru i DarkCloud) je botnet koji djeluje već neko vrijeme i teži ciljanju nepačiranih ili pod zakrpljenim poslužiteljima koji su temeljeni na sustavu Windows. Dotični poslužitelji imaju tendenciju da ugostite niz usluga - WMI, Telnet, RDP (protokol udaljene radne površine), MS-SQL, ssh, MySQL itd. Prema izvještajima, najviše su pogođene zemlje Kina (18% svih žrtava) , Tajvan (11%), Rusija (7%), Brazil (7%) i Sjedinjene Države (6%). Očigledno je postojalo 44 000 jedinstvenih IP adresa koje su pozitivno testirale na MyKings prijetnju. Krajnji cilj MyKings Botneta jest instalirati kriptominer na kompromitirane domaćine i koristiti Forshare Trojan kako bi bili sigurni da svi zasađeni rudari rade onako kako je predviđeno. Kriptovaluti koji se koriste u ovoj kampanji rudaju za kripto valutu Monero. Procijenjeno je da su do sada operatori MyKings Botneta stvorili nevjerojatnih 9000 XMR, što je otprilike tri milijuna dolara.

Uklanja prijetnje koje se natječu iz kompromitiranog domaćina

MyKings Botnet može prepoznati postoje li na kompromitiranom domaćinu i druge vrste zlonamjernog softvera. Ako prijetnja otkrije prisutnost konkurentskih zlonamjernog softvera, bit će uklonjena kako bi se osigurala maksimalna učinkovitost. Nadalje, zlonamjerni softver MyKings može skenirati procese za sve one koji mogu biti povezani s antivirusnim alatima. Ako se otkriju, prijetnja MyKings će se osigurati da ih ukine kako bi se pokrenula neprekidno. Komponente MyKings mogu se samostalno ažurirati, što osigurava da prijetnja ostaje snažna. To se postiže pomoću Windows batch datoteka i RAR arhiva koje se mogu samoraspakirati.

Koristi stegnografiju

Operatori MyKings Botneta odlučili su se za korištenje inovativne tehnike za sakrivanje svojih pokvarenih korisnih tereta - steganografija. Napadači su pogrešno izvršili prijetnju na naoko bezopasnu fotografiju Taylor Swift. Oni koriste modificiranu .jpg datoteku za skrivanje zlonamjernih podataka. Međutim, stručnjaci za zlonamjerni softver uspjeli su ga uočiti jer sadrži tipični MZ tekst zaglavlja i bajtove. Ovaj trik pomaže prijetnji MyKings-a u primjeni najnovijih ažuriranja. MyKings prijetnja zadrijet će Windows Registar kako bi stekla upornost na zaraženom hostu. Bootkit osigurava da se zlonamjerni softver MyKings pokreće nakon ponovnog pokretanja sustava.

MyKings Botnet do sada je stvorio impresivnu količinu novca za svoje operatore, a imajući u vidu da oni stalno ažuriraju prijetnju, vjerovatno je da neće zaustaviti ovu operaciju u bliskoj budućnosti.