MyloBot - el malware que convierte dispositivos Windows en Botnet


Descubierto por los investigadores de seguridad de Deep Instinct, el malware MyloBot permite a los ciberdelincuentes tomar el control del dispositivo infectado y hacer que forme parte de una red zombi para llevar a cabo diferentes actividades maliciosas, como por ejemplo; realizar ataques de denegación distribuida (DDoS), propagar malware o infectar el sistema con ransomware, etc. Sin embargo, entre otras actividades también deshabilita el programa antivirus, actualizaciones de Windows, el servicio de Windows Defender y elimina otros programas maliciosos instalados en el sistema. Los investigadores creen que nunca antes habían visto un malware de tal complejidad en términos de amplitud de sus diversas herramientas,  especialmente en lo que respecta a técnicas de evasión.



Según un análisis de Tom Nipravsky, un investigador de seguridad de Deep Instinct, la lista de técnicas empleadas por Mylobot incluye técnicas anti-VM, anti-sandbox y anti-depuración; uso de recursos encriptados; inyección de código; vaciamiento de proceso (donde un atacante crea un nuevo proceso en un estado suspendido, y reemplaza su imagen con la que se va a ocultar); EXE reflexivo, que implica la ejecución de archivos EXE directamente desde la memoria, sin tenerlos en el disco; y un mecanismo de demora de 14 días antes de acceder a sus servidores de C&C.

"La estructura del código en sí es muy compleja: es un malware de subprocesos múltiples en el que cada subproceso se encarga de implementar diferentes capacidades del malware", según explica Nipravsky. "El malware contiene tres capas de archivos, anidados entre sí, donde cada capa se encarga de ejecutar la siguiente, y con la última capa usando la técnica EXE reflexivo. El hecho de que todo tenga lugar en la memoria (mientras se ejecuta la lógica de negocio principal de la botnet en un proceso externo mediante la inyección de código) hace que sea aún más difícil de detectar y rastrear”.


En términos de función, Mylobot puede usarse para descargar cualquier carga útil que elijan los ciberatacantes, ya sea criptominería, ransomware, troyanos bancarios, spyware u otro tipo de malware, así como para ataques DDoS. En la campaña examinada estaba descargando la puerta trasera de DorkBot. El método de entrega actual del malware es desconocido. 


"Algo importante a mencionar es que el C&C no está alojando el binario de DorkBot, sino que ordena al malware que descargue DorkBot de otro servidor", explica Nipravsky. "La funcionalidad principal de la botnet permite a un atacante tomar el control total del sistema del usuario, y se comporta como una puerta para descargar cargas adicionales de los servidores de comando y control". Mylobot también busca otro malware en las máquinas de destino y desactiva todo lo que encuentre.


El estudio realizado sobre una muestra de este malware revela que sus operaciones se llevan a cabo desde la Dark Web (red oscura) mientras que su sistema de comando y control (C & C) también forma parte de otras campañas maliciosas.


Mas información:

https://www.deepinstinct.com/2018/06/20/meet-mylobot-a-new-highly-sophisticated-never-seen-before-botnet-thats-out-in-the-wild/
http://www.itdigitalsecurity.es/endpoint/2018/06/la-botnet-mylobot-presenta-complejas-tecnicas-de-evasion
https://www.hackread.com/meet-mylobot-malware-turning-windows-devices-into-botnet/
https://www.osi.es/es/servicio-antibotnet/info/dorkbot