MyKings Botnet

MyKings Botnet (även känd som Smominru och DarkCloud) är ett botnät som har varit i drift ett tag och tenderar att rikta in oavsända eller under korrigerade servrar som är Windows-baserade. Servrarna i fråga tenderar att vara värd för ett sortiment av tjänster - WMI, Telnet, RDP (Remote Desktop Protocol), MS-SQL, ssh, MySQL, etc. Enligt rapporter är de mest drabbade länderna Kina (18% av alla offer) , Taiwan (11%), Ryssland (7%), Brasilien (7%) och USA (6%). Tydligen har det funnits 44 000 unika IP-adresser ungefär, som har testat positivt för förekomsten av MyKings-hotet. Slutmålet för MyKings Botnet är att installera kryptominerare på de komprometterade värdarna och använda Forshare Trojan för att se till att alla planterade gruvarbetare körs som avsett. De kryptominerare som används i denna kampanj bryter för Monero cryptocurrency. Det har uppskattats att operatörerna av MyKings Botnet hittills har genererat en svindlande 9 000 XMR, vilket är ungefär 3 miljoner dollar.

Tar bort konkurrerande hot från den komprometterade värden

MyKings Botnet kan känna igen om det finns andra skadliga stammar som finns på den komprometterade värden. Om hotet upptäcker förekomsten av konkurrerande skadlig programvara kommer det att tas bort för att säkerställa maximal effektivitet. MyKings malware kan dessutom skanna processerna efter alla som kan vara kopplade till antivirusverktyg. Om några upptäcks kommer MyKings-hotet att se till att avbryta dem så att det körs oavbruten. MyKings-komponenterna kan självuppdatera, vilket ser till att hotet förblir potent. Detta uppnås med hjälp av Windows-batchfiler och RAR-arkiv som kan utvinna sig själv.

Använder steganografi

Operatörerna för MyKings Botnet har valt att använda en ganska innovativ teknik för att dölja dess skadade nyttolaster - steganography. Angriparna har planterat den dåliga körbara av hotet i ett till synes ofarligt fotografi av Taylor Swift. De använder en modifierad .jpg-fil för att dölja skadlig information. Men malware-experter kunde upptäcka den, eftersom den innehåller den typiska MZ-huvudtexten och byte. Detta trick hjälper MyKings hot att använda sina senaste uppdateringar. MyKings-hotet kommer att manipulera med Windows-registret för att vinna för att få uthållighet hos den infekterade värden. En bootkit ser till att MyKings skadlig programvara körs vid omstart av systemet.

MyKings Botnet hittills genererade en imponerande mängd kontanter för sina operatörer, och med tanke på att de fortsätter att uppdatera hotet är det troligt att de inte kommer att stoppa denna operation inom en snar framtid.