Threat Database Botnets MyKings Botnet

MyKings Botnet

Ботнет MyKings (также известный как Smominru и DarkCloud) - это ботнет, который работает некоторое время и имеет тенденцию нацеливаться на не исправленные или не исправленные серверы на базе Windows. Рассматриваемые серверы, как правило, содержат ряд услуг - WMI, Telnet, RDP (протокол удаленного рабочего стола), MS-SQL, ssh, MySQL и т. Д. Согласно сообщениям, наиболее пострадавшими странами являются Китай (18% всех жертв). Тайвань (11%), Россия (7%), Бразилия (7%) и США (6%). По всей видимости, было около 44 000 уникальных IP-адресов, которые дали положительный результат на наличие угрозы MyKings. Конечная цель бот-сети MyKings - установить криптоминеры на скомпрометированных хостах и использовать троян Forshare, чтобы убедиться, что все установленные майнеры работают так, как задумано. Криптоминеры, используемые в этой кампании, занимаются майнингом криптовалюты Monero. Было подсчитано, что до сих пор операторы ботнета MyKings генерировали ошеломляющую цифру в 9 000 XMR, что составляет примерно 3 миллиона долларов.

Удаляет конкурирующие угрозы с компрометированного хоста

Бот-сеть MyKings способна распознать, есть ли на скомпрометированном хосте другие вредоносные программы. Если угроза обнаружит присутствие конкурирующего вредоносного ПО, она будет удалена для обеспечения максимальной эффективности. Кроме того, вредоносная программа MyKings способна сканировать процессы на предмет любых, которые могут быть связаны с антивирусными инструментами. Если они обнаружены, угроза MyKings обязательно прекратит их, чтобы она работала бесперебойно. Компоненты MyKings могут самообновляться, что гарантирует, что угроза остается сильной. Это достигается с помощью пакетных файлов Windows и архивов RAR, которые могут самостоятельно распаковываться.

Использует стеганографию

Операторы ботнета MyKings решили использовать довольно инновационную технику, чтобы скрыть свои поврежденные данные - стеганографию. Злоумышленники установили плохо исполняемый файл угрозы на, казалось бы, безобидной фотографии Тейлор Свифт. Они используют модифицированный файл .jpg, чтобы скрыть вредоносные данные. Тем не менее, эксперты по вредоносным программам смогли обнаружить его, поскольку он содержит типичный текст заголовка MZ и байты. Этот трюк помогает угрозе MyKings применять новейшие обновления. Угроза MyKings будет вмешиваться в реестр Windows, чтобы получить постоянство на зараженном хосте. Буткит гарантирует, что вредоносная программа MyKings запускается после перезагрузки системы.

До сих пор ботнет MyKings генерировал внушительную сумму денег для своих операторов, и, учитывая, что они продолжают обновлять угрозу, вполне вероятно, что они не остановят эту операцию в ближайшем будущем.

В тренде

Наиболее просматриваемые

Загрузка...