MyKings Botnet

MyKings Botnet (noto anche come Smominru e DarkCloud) è una botnet che è in funzione da un po 'di tempo e tende a targetizzare server senza patch o con patch basati su Windows. I server in questione tendono ad ospitare un assortimento di servizi - WMI, Telnet, RDP (Remote Desktop Protocol), MS-SQL, ssh, MySQL, ecc. Secondo i rapporti, i paesi più colpiti sono la Cina (18% di tutte le vittime) , Taiwan (11%), Russia (7%), Brasile (7%) e Stati Uniti (6%). Apparentemente, ci sono stati circa 44.000 indirizzi IP univoci, che si sono rivelati positivi per la presenza della minaccia MyKings. L'obiettivo finale di MyKings Botnet è installare cryptominer sugli host compromessi e utilizzare il Forshare Trojan per assicurarsi che tutti i minatori con impianto funzionino come previsto. I cryptominer utilizzati in questa campagna stanno estraendo la criptovaluta Monero. È stato stimato che finora, gli operatori di MyKings Botnet hanno generato l'incredibile cifra di 9.000 XMR, che è di circa $ 3 milioni.

Rimuove le minacce in competizione dall'host compromesso

MyKings Botnet è in grado di riconoscere se esistono altri ceppi di malware presenti sull'host compromesso. Nel caso in cui la minaccia rilevi la presenza di malware in competizione, verrà rimossa per garantire la massima efficienza. Inoltre, il malware MyKings è in grado di scansionare i processi alla ricerca di eventuali strumenti collegati a strumenti antivirus. Se ne viene rilevata una, la minaccia MyKings farà in modo di risolverli in modo che venga eseguita senza interruzioni. I componenti MyKings sono in grado di auto-aggiornarsi, il che assicura che la minaccia rimanga potente. Ciò si ottiene con l'aiuto di file batch di Windows e archivi RAR che sono in grado di autoestrairsi.

Usa la steganografia

Gli operatori di MyKings Botnet hanno scelto di utilizzare una tecnica piuttosto innovativa per nascondere i suoi payload corrotti: la steganografia. Gli aggressori hanno piantato il cattivo eseguibile della minaccia in una fotografia apparentemente innocua di Taylor Swift. Usano un file .jpg modificato per nascondere i dati dannosi. Tuttavia, gli esperti di malware sono stati in grado di individuarlo, poiché contiene il tipico testo e byte dell'intestazione MZ. Questo trucco aiuta la minaccia MyKings ad applicare i suoi ultimi aggiornamenti. La minaccia MyKings manometterà il registro di Windows per guadagnare persistenza sull'host infetto. Un bootkit si assicura che il malware MyKings venga eseguito al riavvio del sistema.

La MyKings Botnet, finora, ha generato una notevole quantità di denaro per i suoi operatori e, tenendo presente che continuano ad aggiornare la minaccia, è probabile che non interrompano questa operazione nel prossimo futuro.