MyKings Botnet

MyKings Botnet (znany również jako Smominru i DarkCloud) to botnet, który działa od dłuższego czasu i ma tendencję do atakowania niepakowanych lub podszytych serwerów opartych na systemie Windows. Wspomniane serwery zwykle obsługują szereg usług - WMI, Telnet, RDP (Remote Desktop Protocol), MS-SQL, ssh, MySQL itp. Według raportów najbardziej dotkniętymi krajami są Chiny (18% wszystkich ofiar) , Tajwan (11%), Rosja (7%), Brazylia (7%) i Stany Zjednoczone (6%). Najwyraźniej w przybliżeniu było 44 000 unikalnych adresów IP, które pozytywnie przetestowały obecność zagrożenia MyKings. Ostatecznym celem botnetu MyKings jest zainstalowanie kryptomerów na zainfekowanych hostach i użycie trojana Forshare, aby upewnić się, że wszystkie posadzone kopalnie działają zgodnie z przeznaczeniem. Kryptomery użyte w tej kampanii wydobywają kryptowalutę Monero. Szacuje się, że do tej pory operatorzy botnetu MyKings wygenerowali oszałamiającą liczbę 9 000 XMR, co stanowi około 3 miliony dolarów.

Usuwa konkurencyjne zagrożenia z zainfekowanego hosta

Botnet MyKings jest w stanie rozpoznać, czy na zainfekowanym hoście występują inne odmiany złośliwego oprogramowania. W przypadku wykrycia zagrożenia przez konkurencyjne złośliwe oprogramowanie, zostanie ono usunięte, aby zapewnić maksymalną wydajność. Co więcej, szkodliwe oprogramowanie MyKings jest w stanie skanować procesy w poszukiwaniu takich, które mogą być powiązane z narzędziami antywirusowymi. Jeśli zostaną wykryte, zagrożenie MyKings zapewni ich zakończenie, aby działało nieprzerwanie. Komponenty MyKings są w stanie dokonać automatycznej aktualizacji, dzięki czemu zagrożenie pozostaje silne. Osiąga się to za pomocą plików wsadowych systemu Windows i archiwów RAR, które są w stanie samorozpakowac się.

Wykorzystuje steganografię

Operatorzy botnetu MyKings zdecydowali się zastosować raczej innowacyjną technikę, aby ukryć jego skorumpowane ładunki - steganografię. Atakujący umieścili zły plik wykonywalny zagrożenia na pozornie nieszkodliwej fotografii Taylora Swifta. Korzystają ze zmodyfikowanego pliku .jpg, aby ukryć złośliwe dane. Jednak eksperci od złośliwego oprogramowania byli w stanie to zauważyć, ponieważ zawiera on typowy tekst nagłówka MZ i bajty. Ta sztuczka pomaga zagrożeniu MyKings zastosować najnowsze aktualizacje. Zagrożenie MyKings zmodyfikuje Rejestr Windows, aby zyskać na wytrwałości na zainfekowanym hoście. Bootkit zapewnia, że złośliwe oprogramowanie MyKings jest uruchamiane po ponownym uruchomieniu systemu.

Jak dotąd botnet MyKings wygenerował imponującą ilość gotówki dla swoich operatorów i mając na uwadze, że wciąż aktualizują zagrożenie, prawdopodobnie nie powstrzymają tej operacji w najbliższej przyszłości.