MyKings Botnet

Het MyKings Botnet (ook bekend als Smominru en DarkCloud) is een botnet dat al een tijdje in gebruik is en zich meestal richt op niet-gepatchte of onder gepatchte servers die op Windows zijn gebaseerd. De servers in kwestie hebben de neiging om een assortiment van diensten te hosten - WMI, Telnet, RDP (Remote Desktop Protocol), MS-SQL, ssh, MySQL, enz. Volgens rapporten zijn de zwaarst getroffen landen China (18% van alle slachtoffers) , Taiwan (11%), Rusland (7%), Brazilië (7%) en de Verenigde Staten (6%). Blijkbaar zijn er ongeveer 44.000 unieke IP-adressen geweest, die positief zijn getest op de aanwezigheid van de MyKings-dreiging. Het einddoel van de MyKings Botnet is om cryptominers op de gecompromitteerde hosts te installeren en de Forshare Trojan te gebruiken om ervoor te zorgen dat alle geplante mijnwerkers werken zoals bedoeld. De cryptominers die in deze campagne worden gebruikt, zijn mining voor de Monero-cryptocurrency. Naar schatting hebben de exploitanten van het MyKings Botnet tot maar liefst 9.000 XMR gegenereerd, wat ongeveer $ 3 miljoen is.

Verwijdert concurrerende bedreigingen van de gecompromitteerde host

De MyKings Botnet is in staat om te herkennen of er andere malware-stammen aanwezig zijn op de gecompromitteerde host. In het geval dat de dreiging de aanwezigheid van concurrerende malware detecteert, wordt deze verwijderd om maximale efficiëntie te garanderen. Bovendien kan de MyKings-malware de processen scannen op processen die gekoppeld zijn aan antivirusprogramma's. Als er iets wordt gedetecteerd, zal de MyKings-dreiging ervoor zorgen dat ze worden beëindigd zodat het ononderbroken zou werken. De MyKings-componenten kunnen zichzelf updaten, wat ervoor zorgt dat de dreiging krachtig blijft. Dit wordt bereikt met behulp van Windows-batchbestanden en RAR-archieven die zichzelf kunnen uitpakken.

Gebruikt steganografie

De exploitanten van het MyKings Botnet hebben ervoor gekozen om een nogal innovatieve techniek te gebruiken om zijn beschadigde payloads te verbergen - steganografie. De aanvallers hebben het slechte uitvoerbare bestand van de dreiging geplant in een schijnbaar onschadelijke foto van Taylor Swift. Ze gebruiken een aangepast .jpg-bestand om de kwaadaardige gegevens te verbergen. Malware-experts konden het echter herkennen, omdat het de typische MZ-koptekst en bytes bevat. Deze truc helpt de MyKings-dreiging zijn nieuwste updates toe te passen. De MyKings-dreiging zal knoeien met het Windows-register om persistentie te verkrijgen op de geïnfecteerde host. Een bootkit zorgt ervoor dat de MyKings-malware wordt uitgevoerd bij het opnieuw opstarten van het systeem.

De MyKings Botnet heeft tot nu toe een indrukwekkende hoeveelheid contant geld gegenereerd voor zijn operators en gezien het feit dat ze de dreiging blijven bijwerken, is het waarschijnlijk dat ze deze operatie niet in de nabije toekomst zullen stoppen.