MyKings Botnet

A MyKings Botnet (Smominru és DarkCloud néven is ismert) egy botnet, amely egy ideje működik, és hajlamos arra, hogy megcélozhatatlan vagy javított, Windows alapú szervereket célozzon meg. A kérdéses szerverek általában szolgáltatási választékot szállítanak - WMI, Telnet, RDP (Remote Desktop Protocol), MS-SQL, ssh, MySQL stb. A jelentések szerint a leginkább érintett országok Kína (az összes áldozat 18% -a). , Tajvan (11%), Oroszország (7%), Brazília (7%) és az Egyesült Államok (6%). Nyilvánvalóan körülbelül 44 000 egyedi IP-cím létezett, amelyek pozitívnak bizonyultak a MyKings fenyegetése szempontjából. A MyKings Botnet végső célja kriptoprinók telepítése a veszélyeztetett gazdagépeken és a Forshare trójai használata annak biztosítására, hogy az összes elültetett bányász a tervek szerint működjön. Az ebben a kampányban használt kriptoprinók a Monero kriptovaluta bányászatában vannak. A becslések szerint eddig a MyKings Botnet operátora megdöbbentő 9000 XMR-et generált, ami körülbelül 3 millió dollár.

Eltávolítja a versengő veszélyeket a kompromittált gazdagépről

A MyKings Botnet képes felismerni, hogy vannak-e más rosszindulatú programok törzsek is a veszélyeztetett gazdagépen. Abban az esetben, ha a fenyegetés kompetitív malware jelenlétét észleli, a maximális hatékonyság érdekében eltávolítják. Ezenkívül a MyKings rosszindulatú program képes ellenőrizni a folyamatokat mindazok ellen, amelyek kapcsolódhatnak az antivírusos eszközökhöz. Ha bármilyen észlelés történik, akkor a MyKings fenyegetésével minden bizonnyal megszünteti őket, hogy folyamatosan futjon. A MyKings komponensek képesek önfrissítésre, ami biztosítja, hogy a fenyegetés továbbra is erős legyen. Ezt olyan Windows kötegelt fájlok és RAR archívumok segítségével érik el, amelyek képesek az önkivonásra.

Steganográfiát használ

A MyKings Botnet operátora egy meglehetősen innovatív technikát választott a sérült hasznos teher elrejtésére - szteganográfia. A támadók Taylor Swift látszólag ártalmatlan fényképére ültették a fenyegetés rossz végrehajthatóságát. Egy módosított .jpg fájlt használnak a rosszindulatú adatok elrejtésére. A rosszindulatú programok szakértői azonban észrevették, mivel az tartalmazza a tipikus MZ fejléc szövegét és bájtjait. Ez a trükk segíti a MyKings fenyegetését a legújabb frissítések alkalmazásában. A MyKings fenyegetése megsérti a Windows nyilvántartást, hogy meggyőződik a fertőzött gazdagépen. A rendszerindító csomag biztosítja a MyKings rosszindulatú program futtatását a rendszer újraindításakor.

A MyKings Botnet eddig lenyűgöző mennyiségű pénzt generált operátorainak, és mivel szem előtt tartva folyamatosan frissítik a fenyegetést, valószínű, hogy nem állítják le ezt a műveletet a közeljövőben.