Qual è il malware di Mylobot? Come funziona e cosa fare a riguardo
La sicurezza informatica è un campo di battaglia costante. Nel 2017, i ricercatori della sicurezza hanno scoperto circa 23.000 nuovi campioni di malware al giorno (ovvero 795 all'ora).
Mentre il titolo è scioccante, risulta che la maggior parte di questi esemplari sono varianti dello stesso tipo di malware. Hanno solo un codice leggermente diverso che ognuno crea un “nuovo” firma.
Di tanto in tanto, però, una vera e nuova ceppo di malware irrompe sulla scena. Mylobot è un esempio del genere: è nuovo, altamente sofisticato e sta prendendo slancio.
Cos'è Mylobot?
Mylobot è un malware botnet Che cos'è una botnet e il tuo computer è parte di uno? Che cos'è una botnet e il tuo computer è parte di uno? Le botnet sono una delle principali fonti di malware, ransomware, spam e altro. Ma cos'è una botnet? Come vengono alla luce? Chi li controlla? E come possiamo fermarli? Leggi altro che racchiude una seria quantità di intenzioni malevole. Il nuovo malware è stato individuato per la prima volta da Tom Nipravsky, un ricercatore per la sicurezza di Deep Instinct, che afferma “la combinazione e la complessità di queste tecniche non sono mai state viste prima in natura.”
Questo malware combina infatti una vasta gamma di sofisticate tecniche di infezione e offuscamento in un potente pacchetto. Guarda:
- Tecniche della macchina virtuale (VM): Il malware controlla il proprio ambiente locale per i segni di una macchina virtuale e, se trovato, non riesce a funzionare.
- Tecniche anti-sandbox: Molto simile alle tecniche anti-VM.
- Tecniche anti-debug: Arresta un ricercatore della sicurezza lavorando in modo efficace ed efficiente su un campione di malware, alterando il comportamento in presenza di determinati programmi di debug.
- Racchiudere parti interne con un file di risorse crittografato: In sostanza, ulteriore protezione del codice interno del malware con crittografia.
- Tecniche di iniezione del codice: Mylobot esegue un codice personalizzato per attaccare il sistema, iniettando il suo codice personalizzato nei processi di sistema per ottenere l'accesso e interrompere le normali operazioni.
- Processo di svuotamento: Un utente malintenzionato crea un nuovo processo in uno stato sospeso, quindi sostituisce quello che deve essere nascosto.
- EXE riflettente: Il file EXE viene eseguito dalla memoria anziché dal disco.
- Meccanismo di ritardo: Il malware rimane dormiente per 14 giorni prima di connettersi ai server di comando e controllo.
Mylobot si impegna molto a rimanere nascosto.
Le tecniche anti-sandboxing, anti-debug e anti-VM tentano di impedire che il malware compaia nelle scansioni antimalware, oltre a impedire ai ricercatori di isolare il malware su una macchina virtuale o un ambiente sandbox per l'analisi.
L'eseguibile riflettente rende Mylobot ancora più impercettibile in quanto non vi è alcuna attività diretta sul disco per la tua suite antivirus o antimalware da analizzare.
Le manovre evasive di Mylobot
Secondo ciò che Nipravsky ha detto a Threatpost:
“La struttura del codice stesso è molto complessa: si tratta di un malware multi-thread in cui ogni thread ha il compito di implementare diverse funzionalità del malware.”
E:
“Il malware contiene tre livelli di file, nidificati l'uno sull'altro, in cui ogni livello ha il compito di eseguire quello successivo. L'ultimo livello utilizza la tecnica [Reflective EXE].”
Insieme alle tecniche di anti-analisi e anti-rilevamento, Mylobot può attendere fino a 14 giorni prima di tentare di stabilire comunicazioni con i suoi server di comando e controllo.
Quando Mylobot stabilisce una connessione, la botnet chiude Windows Defender e Windows Update, oltre a chiudere un certo numero di porte Windows Firewall 7 I migliori programmi firewall da considerare per la sicurezza del computer 7 I migliori programmi firewall da considerare per la sicurezza del computer I firewall sono fondamentali per la moderna sicurezza informatica. Ecco le tue migliori opzioni e qual è quella giusta per te. Leggi di più .
Mylobot cerca e uccide altri tipi di malware
Una delle funzioni più interessanti e rare del malware Mylobot è la sua funzione di ricerca e distruzione.
A differenza di altri malware, Mylobot è pronto a sradicare altri tipi di malware già presenti nel sistema di destinazione. Mylobot analizza le cartelle Dati applicazioni di sistema per file e cartelle di malware comuni e, se trova un determinato file o processo, Mylobot lo interrompe.
Nipravsky crede che ci siano un paio di ragioni per questa attività di malware rara e iper-aggressiva. L'avvento del ransomware-as-a-service e di altri malware pay-to-play Ransomware-as-a-Service porterà il caos a tutti Ransomware-as-a-service porterà il caos a tutti Il ransomware si sta muovendo dalle sue radici come strumento di criminali e malfattori in un'industria dei servizi preoccupante, in cui chiunque può abbonarsi a un servizio di ransomware e prendere di mira utenti come te e me. Leggi Altre varianti hanno abbassato significativamente la barriera per diventare un cyber-criminale. Alcuni ransomware completi e kit di exploit sono disponibili gratuitamente come parte dei programmi di affiliazione (in particolare, il Saturn ransomware).
Inoltre, il prezzo per assumere una potente botnet può scendere estremamente basso con un ordine abbastanza grande mentre altri hanno pubblicizzato tariffe giornaliere per solo decine di dollari.
La facilità di accesso sta invadendo l'attività di criminalità informatica stabilita.
“Gli attaccanti si sfidano l'un l'altro per avere il maggior numero possibile di "computer zombi" al fine di aumentare il loro valore quando propongono servizi ad altri attaccanti, specialmente quando si tratta di diffondere infrastrutture.”
Di conseguenza, vi è una sorta di drammatica escalation delle funzionalità malware per diffondersi ulteriormente, durare più a lungo e ottenere ricompense più redditizie.
Cosa fa Mylobot, esattamente?
La funzionalità principale di Mylobot sta esponendo il controllo del sistema all'autore dell'attacco. Da lì, l'autore dell'attacco ha accesso a credenziali online, file di sistema e molto altro.
Il vero danno è in definitiva la decisione di chi sta attaccando il sistema. I malware con funzionalità di Mylobot possono facilmente causare gravi danni, in particolare se rilevati nell'ambiente aziendale.
Mylobot ha anche collegamenti ad altre botnet, tra cui DorkBot, Ramdo e l'infame rete di Locky. Se Mylobot funge da canale per altre botnet e tipi di malware, chiunque cade in fallo di questo malware avrà davvero un brutto momento:
“Il fatto che la botnet si comporti come una porta per carichi utili aggiuntivi, mette l'azienda in pericolo di perdita di dati sensibili, a seguito del rischio di installazioni di keylogger / trojan bancari.”
Come stai sicuro contro Mylobot?
Bene, ecco le cattive notizie: si pensa che Mylobot abbia infettato attivamente sistemi per oltre due anni a questo punto. I suoi server di comando e controllo sono stati utilizzati per la prima volta a novembre 2015.
Quindi, Mylobot sembra aver schivato tutti gli altri ricercatori e aziende di sicurezza per un po 'di tempo prima di imbattersi negli strumenti di deep cyber research di Deep Instinct..
Sfortunatamente, i tuoi normali strumenti antivirus e antimalware non sceglieranno qualcosa come Mylobot, almeno per il momento.
Ora che c'è un campione di Mylobot, più aziende di sicurezza e ricercatori possono usare la firma. A loro volta, manterranno schede molto più vicine su Mylobot.
Nel frattempo, devi controllare la nostra lista dei migliori strumenti antivirus per computer e sicurezza! Mentre il tuo normale antivirus o antimalware potrebbe non essere presente su Mylobot, c'è un sacco di altri malware là fuori sicuramente si fermerà.
Tuttavia, se è troppo tardi per te e sei già preoccupato per un'infezione, consulta la nostra guida completa alla rimozione del malware. La guida alla rimozione completa del malware La completa guida alla rimozione del malware Il malware è ovunque in questi giorni e sradicare il malware dal tuo sistema è un processo lungo, che richiede una guida. Se pensi che il tuo computer sia infetto, questa è la guida che ti serve. Leggi di più . Aiuterà te e il tuo sistema a superare la stragrande maggioranza dei malware e ad iniziare a prendere provvedimenti per evitare che si ripeta.
Scopri di più su: sicurezza informatica, malware.