MyKings Botnet

O MyKings Botnet (também conhecido como Smominru e DarkCloud) é um botnet que está em operação há um tempo e tende a direcionar servidores sem patch ou sob patches baseados no Windows. Os servidores em questão tendem a hospedar uma variedade de serviços - WMI, Telnet, RDP (Protocolo de Área de Trabalho Remota), MS-SQL, ssh, MySQL, etc. Segundo relatos, os países mais afetados são a China (18% de todas as vítimas) , Taiwan (11%), Rússia (7%), Brasil (7%) e Estados Unidos (6%). Aparentemente, existem aproximadamente 44.000 endereços IP únicos, que foram positivos quanto à presença da ameaça MyKings. O objetivo final do MyKings Botnet é instalar cryptominers nos hosts comprometidos e usar o Forshare Trojan para garantir que todos os mineiros plantados estejam funcionando conforme o esperado. Os cryptominers usados nesta campanha estão minerando a criptomoeda Monero. Estima-se que, até agora, os operadores do MyKings Botnet geraram um impressionante 9.000 XMR, que é de aproximadamente US $3 milhões.

Remove Ameaças Concorrentes do Host Comprometido

O MyKings Botnet é capaz de reconhecer se há outras formas de malware presentes no host comprometido. Caso a ameaça detecte a presença de malware concorrente, ela será removida para garantir a máxima eficiência. Além disso, o malware MyKings pode verificar os processos em busca de qualquer um que possa estar vinculado a ferramentas antivírus. Se alguma for detectada, a ameaça MyKings garantirá sua interrupção para que funcione ininterruptamente. Os componentes do MyKings podem se atualizar automaticamente, o que garante que a ameaça permaneça potente. Isso é conseguido com a ajuda de arquivos em lote do Windows e arquivos RAR que podem ser extraídos automaticamente.

Usa Esteganografia

Os operadores do MyKings Botnet optaram por usar uma técnica bastante inovadora para ocultar suas cargas corrompidas - a esteganografia. Os atacantes plantaram o mau executável da ameaça em uma fotografia aparentemente inofensiva de Taylor Swift. Eles usam um arquivo .jpg modificado para ocultar os dados maliciosos. No entanto, os especialistas em malware conseguiram identificá-lo, pois ele contém o texto e os bytes típicos do cabeçalho MZ. Esse truque ajuda a ameaça do MyKings a aplicar suas atualizações mais recentes. A ameaça MyKings adulterará o Registro do Windows para ganhar persistência no host infectado. Um kit de inicialização garante que o malware MyKings seja executado após a reinicialização do sistema.

O MyKings Botnet, até o momento, gerou uma quantia impressionante de dinheiro para seus operadores e, tendo em mente que eles continuam atualizando a ameaça, é provável que não interrompam esta operação no futuro próximo.