La botnet Mylobot asesta un doble golpe con el malware Khalesi
Con la habilidad de descargar otros tipos de malware luego de infectar una computadora, la botnet Mylobot está demostrando su capacidad para robar información, según un nuevo informe de CenturyLink, Inc.. Mylobot contiene técnicas sofisticadas de anti-virtual machine y anti-sandboxing para evitar la detección y el análisis, tales como la de permanecer inactiva durante 14 días antes de intentar contactarse con el servidor de comando y control (C2). No obstante, desde su identificación en junio de 2018, los Laboratorios de Investigación de Amenazas de CenturyLink han observado a Mylobot descargando Khalesi, una familia de malware generalizado para la sustracción de información, ejecutado como ataque de segunda etapa en los hosts infectados.
“Lo que hace que Mylobot sea tan peligroso es su capacidad de descargar y de ejecutar cualquier otro tipo de carga útil que los atacantes desean, y ahora contamos con evidencia de que una de esas cargas útiles es Khalesi,” comentó Mike Benjamin, titular de los Laboratorios de Investigación de Amenazas de CenturyLink. “Al analizar las tendencias y métodos globales de los ataques de botnet, CenturyLink cuenta con una mayor capacidad de anticiparse y responder antes las amenazas en constante evolución tales como Mylobot, en defensa de nuestra propia red y las de nuestros clientes.”
Aprendizajes clave
- Los Laboratorios de Investigación de Amenazas de CenturyLink observaron aproximadamente 18.000 IP únicas comunicándose con los C2 de Mylobot.
- Los 10 principales países donde se originaron las IP infectadas fueron: Irak, Irán, Argentina, Rusia, Vietnam, China, India, Arabia Saudita, Chile y Egipto.
- CenturyLink bloqueó la infraestructura de Mylobot en su red para mitigar el riesgo a sus clientes y les notificó a los proveedores de los dispositivos infectados para ayudarlos a mitigar las infecciones de Mylobot.
- Para las empresas que están monitoreando DNS, Mylobot puede detectarse a través de las hasta 60.000 consultas de sistemas de nombres de dominio (DNS) que realizan los hosts infectados mientras intentan contactarse con el C2.