MyKings Botnet

MyKings Botnet (også kjent som Smominru og DarkCloud) er et botnet som har vært i drift en stund og har en tendens til å målrette usendte eller under oppdaterte servere som er Windows-baserte. De aktuelle serverne har en tendens til å være vertskap for et utvalg av tjenester - WMI, Telnet, RDP (Remote Desktop Protocol), MS-SQL, ssh, MySQL, etc. I følge rapporter er de mest berørte landene Kina (18% av alle ofre) , Taiwan (11%), Russland (7%), Brasil (7%) og USA (6%). Tilsynelatende har det vært 44.000 unike IP-adresser omtrent, som har testet positivt for tilstedeværelsen av MyKings-trusselen. Endelig mål for MyKings Botnet er å installere kryptominere på de kompromitterte vertene og bruke Forshare Trojan for å sikre at alle plantede gruvearbeidere kjører som forutsatt. Kryptominerne som brukes i denne kampanjen er gruvedrift for Monero cryptocurrency. Det har blitt anslått at operatørene av MyKings Botnet hittil har generert en svimlende 9000 XMR, som er omtrent $ 3 millioner.

Fjerner konkurrerende trusler fra den kompromitterte verten

MyKings Botnet er i stand til å gjenkjenne om det er andre skadelige stammer som finnes på den kompromitterte verten. I tilfelle trusselen oppdager tilstedeværelsen av konkurrerende malware, vil den bli fjernet for å sikre maksimal effektivitet. Videre er MyKings malware skadelig for å skanne prosessene for alle som kan være knyttet til antivirusverktøy. Hvis noen blir oppdaget, vil MyKings-trusselen sørge for å avslutte dem slik at den kjører uavbrutt. MyKings-komponentene er i stand til å oppdatere seg selv, noe som sørger for at trusselen forblir potent. Dette oppnås ved hjelp av Windows-batchfiler og RAR-arkiver som er i stand til å pakke ut selv.

Bruker steganografi

Operatørene av MyKings Botnet har valgt å bruke en ganske nyskapende teknikk for å skjule de ødelagte nyttelastene - steganography. Angriperne har plantet den dårlige kjørbare av trusselen i et tilsynelatende ufarlig fotografi av Taylor Swift. De bruker en modifisert .jpg-fil for å skjule skadelige data. Imidlertid var malwareeksperter i stand til å oppdage det, ettersom den inneholder den typiske MZ-overskriften tekst og byte. Dette trikset hjelper MyKings-trusselen til å bruke de nyeste oppdateringene. MyKings-trusselen vil tukle med Windows-registeret for å få for å få utholdenhet på den infiserte verten. En bootkit sørger for at MyKings skadelig programvare kjøres ved omstart av systemet.

MyKings Botnet, så langt, genererte hs imponerende mengder kontanter for operatørene, og med tanke på at de fortsetter å oppdatere trusselen, er det sannsynlig at de ikke vil stoppe denne operasjonen i løpet av en nær fremtid.