MyloBot, một mạng botnet nguy hiểm và phức tạp, đã xâm phạm hàng nghìn hệ thống, hầu hết nằm ở Ấn Độ, Mỹ, Indonesia và Iran.
BitSight cho biết đã phát hiện "có hơn 50.000 hệ thống khác nhau bị nhiễm mỗi ngày", giảm từ mức 250.000 máy chủ khác nhau vào năm 2020.
Một phân tích về cơ sở hạ tầng của MyloBot đã phát hiện các kết nối với dịch vụ proxy dân cư có tên BHProxies, cho thấy rằng các máy bị xâm nhập đang được sử dụng sau đó.
MyloBot lần đầu tiên được Deep Instinct tiết lộ phân tích chi tiết vào năm 2018, chỉ ra các kỹ thuật chống phân tích và khả năng hoạt động như một công cụ tải xuống (downloader) của nó.
“Điều khiến Mylobot trở nên nguy hiểm là khả năng tải xuống và thực thi bất kỳ loại payload nào sau khi nó lây nhiễm vào máy chủ,” Black Lotus Labs của Lumen cho biết vào tháng 11 năm 2018. “Điều này có nghĩa là bất cứ lúc nào nó cũng có thể tải xuống bất kỳ loại phần mềm độc hại nào mà kẻ tấn công muốn".
Năm ngoái, mã độc này được phát hiện đã gửi email tống tiền từ các thiết bị (endpoint) bị tấn công như một phần của chiến dịch độc hại có động cơ tài chính để yêu cầu khoản tiền chuộc 2.732$ Bitcoin.
MyloBot được thiết kế để giải nén và khởi chạy phần mềm độc hại bot thông qua nhiều giai đoạn. Đáng chú ý, nó sẽ không hoạt động trong 14 ngày trước khi cố gắng liên hệ với máy chủ điều khiển tấn công (C2) để tránh bị phát hiện.
Chức năng chính của botnet là thiết lập kết nối đến một tên miền (domain) C2 đã xác định và chờ lệnh từ nó.
BitSight cho biết: “Khi Mylobot nhận được lệnh từ C2, nó sẽ biến máy bị nhiễm thành một proxy. Máy bị nhiễm sẽ có thể xử lý nhiều kết nối và chuyển tiếp lưu lượng được gửi qua máy chủ C2."
Nó tận dụng một downloader để liên hệ với máy chủ C2, máy chủ này sẽ phản hồi bằng một thông báo được mã hóa có chứa liên kết để truy xuất payload MyloBot.
Các nhà nghiên cứu còn phát hiện bằng chứng cho thấy MyloBot có thể là một phần của chiến dịch độc hại lớn hơn nào đó bắt nguồn từ việc tra cứu DNS ngược (reverse DNS lookup) của một trong các địa chỉ IP được liên kết với cơ sở hạ tầng C2 của botnet, kết quả của việc này đã tiết lộ mối liên hệ với một domain có tên "clients.bhproxies[.]com."
Để giảm thiểu nguy cơ trở thành nạn nhân của các chiến dịch độc hại này, người dùng nên cẩn thận khi truy cập vào một liên kết lạ hay tải xuống/thực thi tệp từ nguồn không xác định hoặc không tin cậy, đồng thời đảm bảo rằng các hệ thống bảo vệ như tường lửa, công cụ anti-virus luôn được bật.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Samsung đã phát triển một hệ thống bảo mật mới có tên là Samsung Message Guard để giúp người dùng điện thoại thông minh Galaxy giữ an toàn trước các cuộc tấn công “không nhấp chuột” (zero-click) thông qua các tệp hình ảnh độc hại.
Tín nhiệm mạng | CISA đã bổ sung 4 lỗ hổng bảo mật bị khai thác trong các cuộc tấn công dưới dạng zero-day vào danh sách các lỗ hổng được biết là bị lạm dụng trong thực tế
Tín nhiệm mạng | Một phần mềm độc hại mới có tên 'ProxyShellMiner' đã được phát hiện đang khai thác các lỗ hổng Microsoft Exchange ProxyShell để triển khai các công cụ khai thác tiền điện tử
Tín nhiệm mạng | Google đã chính thức công bố triển khai tính năng bảo mật Privacy Sandbox trên Android ở phiên bản thử nghiệm (bản beta) cho các thiết bị di động đủ điều kiện đang chạy Android 13.
Tín nhiệm mạng | Microsoft đã phát hành các bản cập nhật bảo mật để giải quyết 75 lỗ hổng trong danh mục sản phẩm của mình, ba trong số đó đã bị khai thác trong thực tế.
Tín nhiệm mạng | Nền tảng tổng hợp tin tức xã hội phổ biến Reddit đã xác nhận rằng họ là nạn nhân của một sự cố bảo mật cho phép các tác nhân đe dọa có quyền truy cập trái phép vào dữ liệu nội bộ, mã nguồn và một số hệ thống kinh doanh của công ty.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
