🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng Ủy ban nhân dân tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                   

MyloBot Botnet lan rộng nhanh chóng, hơn 50.000 thiết bị bị lây nhiễm mỗi ngày

22/02/2023

MyloBot, một mạng botnet nguy hiểm và phức tạp, đã xâm phạm hàng nghìn hệ thống, hầu hết nằm ở Ấn Độ, Mỹ, Indonesia và Iran.

BitSight cho biết đã phát hiện "có hơn 50.000 hệ thống khác nhau bị nhiễm mỗi ngày", giảm từ mức 250.000 máy chủ khác nhau vào năm 2020.

Một phân tích về cơ sở hạ tầng của MyloBot đã phát hiện các kết nối với dịch vụ proxy dân cư có tên BHProxies, cho thấy rằng các máy bị xâm nhập đang được sử dụng sau đó.

MyloBot lần đầu tiên được Deep Instinct tiết lộ phân tích chi tiết vào năm 2018, chỉ ra các kỹ thuật chống phân tích và khả năng hoạt động như một công cụ tải xuống (downloader) của nó.

“Điều khiến Mylobot trở nên nguy hiểm là khả năng tải xuống và thực thi bất kỳ loại payload nào sau khi nó lây nhiễm vào máy chủ,” Black Lotus Labs của Lumen cho biết vào tháng 11 năm 2018. “Điều này có nghĩa là bất cứ lúc nào nó cũng có thể tải xuống bất kỳ loại phần mềm độc hại nào mà kẻ tấn công muốn".

Năm ngoái, mã độc này được phát hiện đã gửi email tống tiền từ các thiết bị (endpoint) bị tấn công như một phần của chiến dịch độc hại có động cơ tài chính để yêu cầu khoản tiền chuộc 2.732$ Bitcoin.

MyloBot được thiết kế để giải nén và khởi chạy phần mềm độc hại bot thông qua nhiều giai đoạn. Đáng chú ý, nó sẽ không hoạt động trong 14 ngày trước khi cố gắng liên hệ với máy chủ điều khiển tấn công (C2) để tránh bị phát hiện.

Chức năng chính của botnet là thiết lập kết nối đến một tên miền (domain) C2 đã xác định và chờ lệnh từ nó.

BitSight cho biết: “Khi Mylobot nhận được lệnh từ C2, nó sẽ biến máy bị nhiễm thành một proxy. Máy bị nhiễm sẽ có thể xử lý nhiều kết nối và chuyển tiếp lưu lượng được gửi qua máy chủ C2."

Nó tận dụng một downloader để liên hệ với máy chủ C2, máy chủ này sẽ phản hồi bằng một thông báo được mã hóa có chứa liên kết để truy xuất payload MyloBot.

Các nhà nghiên cứu còn phát hiện bằng chứng cho thấy MyloBot có thể là một phần của chiến dịch độc hại lớn hơn nào đó bắt nguồn từ việc tra cứu DNS ngược (reverse DNS lookup) của một trong các địa chỉ IP được liên kết với cơ sở hạ tầng C2 của botnet, kết quả của việc này đã tiết lộ mối liên hệ với một domain có tên "clients.bhproxies[.]com."

Để giảm thiểu nguy cơ trở thành nạn nhân của các chiến dịch độc hại này, người dùng nên cẩn thận khi truy cập vào một liên kết lạ hay tải xuống/thực thi tệp từ nguồn không xác định hoặc không tin cậy, đồng thời đảm bảo rằng các hệ thống bảo vệ như tường lửa, công cụ anti-virus luôn được bật.

Nguồn: thehackernews.com.

scrolltop