Forscher haben eine neuer Bericht über ein neues Crypto-Mining-Botnetz, das scheinbar harmlose Inhalte wie Taylor Swifts JPEG-Bilder als Köder verwendet.
Das Botnetz MyKings (alternativ auch DarkCloud oder Smominru) ist seit 2016 aktiv, eines davon Pressemitteilung von Gabor Szappanos von SophosLabs am 18. Dezember.
Die Akteure hinter MyKings sollten die Malware umdrehen Bootkit-Funktionalität erweitert, wodurch sie schwieriger zu sehen und zu entfernen sind.
MyKings hat bereits 3 Millionen US-Dollar gesammelt
Der SophosLabs-Bericht bietet einen umfassenden Überblick über die Funktionsweise des Botnetzes, das Szappanos als „unerbittlich redundant“ bezeichnet. [d.h. sich wiederholenden] Angreifer „. Es greift hauptsächlich Windows-basierte Dienste an, auf denen Datenbankverwaltungssysteme wie MqSQL und MS-SQL, Netzwerkprotokolle wie Telnet oder sogar Überwachungskameraserver installiert sind.
Wie der Bericht feststellt, scheinen die Entwickler des Botnetzes die Verwendung von Open Source oder anderer gemeinfreier Software zu bevorzugen und sind in der Lage, den Quellcode anzupassen und zu verbessern. Auf diese Weise können einzelne Komponenten integriert werden, um Angriffe auszuführen und automatisierte Aktualisierungsprozesse durchzuführen.
Das Botnetz führt eine Reihe von Angriffen auf einen Server durch, um ausführbare Malware zu installieren, häufig einen Trojaner namens „Forshare“, der sich als die häufigste Nutzlast auf infizierten Servern erwiesen hat.
Forshare wird verwendet, um verschiedene Monero (XMRCryptominer, der auf der Zielhardware verwendet wird. SophosLabs schätzt, dass die Botnet-Administratoren mit Monero etwa 3 Millionen US-Dollar verdient haben. Aufgrund der zuletzt niedrigeren relativen Bewertung der Kryptowährung entspricht dies einem laufenden Einkommen von rund 300 USD pro Tag.
Gute Tarnung
Das: Ungeschnittener SophosLabs-Bericht
In einem von SophosLabs untersuchten Beispiel wurde ein nicht wahrnehmbar verändertes Bild von Popstar Taylor Swift als JPG-Foto in ein öffentliches Repository hochgeladen, zusammen mit einer versteckten ausführbaren Datei, die das Botnetz beim Herunterladen automatisch aktualisiert.
Die Forschung von SophosLabs zeigt die Komplexität des Persistenzmechanismus von MyKings, der mit aggressiven Wiederholungsversuchen und Selbstaktualisierungsprozessen mit mehreren Befehlskombinationen fortgesetzt wird.
„Selbst wenn die meisten Komponenten des Botnetzes vom Computer entfernt werden, kann der Rest der Stärke des Botnetzes mit einem einfachen Update wiederhergestellt werden. All dies wird mithilfe selbstextrahierender RAR-Archive und Windows-Batchdateien koordiniert.“
Derzeit sind laut dem Bericht China, Taiwan, Russland, Brasilien, die Vereinigten Staaten, Indien und Japan die Länder mit der höchsten Anzahl infizierter Wirte.
Monero und Verbrechen
Wie Cointelegraph im November berichtetDie auf der offiziellen Website von Monero Download angebotene Software wurde für kurze Zeit kompromittiert, um Kryptowährung aus Benutzergeldbörsen zu stehlen.
Im selben Monat offenbart Das slowakische Software-Sicherheitsunternehmen Eset berichtete, dass Cyberkriminelle YouTube verwendeten, um einen Monero-Miner über ein Botnetz namens Stantinko zu vertreiben.
