Una botnet sofisticada llamada MyloBot ha comprometido miles de sistemas, la mayoría de los cuales están ubicados en India, EE. UU., Indonesia e Irán.
Eso es según los nuevos conocimientos de BitSight, que dice que «actualmente está viendo más de 50,000 sistemas infectados únicos cada día», en comparación con un pico de 2020 de 250,000 hosts únicos.
Además, un análisis de la infraestructura de MyloBot encontró enlaces a un servicio de proxy privado llamado BHProxies, lo que indica que las máquinas comprometidas están siendo utilizadas por este último.
MyloBot, que apareció en el panorama de las amenazas en 2017, fue documentado por primera vez por Deep Instinct en 2018, citando sus técnicas antianálisis y su capacidad para actuar como descargador.
«Lo que hace que Mylobot sea peligroso es su capacidad para descargar y ejecutar cualquier tipo de carga útil después de infectar un host», dijo Black Lotus Labs de Lumen en noviembre de 2018. «Esto significa que puede descargar cualquier otro tipo de malware en cualquier momento que el atacante quiere. «
El año pasado, se observó que el malware enviaba correos electrónicos de extorsión desde puntos finales pirateados como parte de una campaña motivada financieramente que buscaba más de $ 2,700 en bitcoins.
Se sabe que MyloBot utiliza una secuencia de varios pasos para desempaquetar e iniciar el malware bot. En particular, también permanece inactivo durante 14 días antes de intentar comunicarse con el servidor de comando y control (C2) para eludir la detección.
La función principal de la botnet es conectarse a un dominio C2 codificado incrustado en el malware y esperar más instrucciones.
«Cuando Mylobot recibe una instrucción del C2, convierte la computadora infectada en un proxy», dijo BitSight. «La computadora infectada podrá manejar muchas conexiones y reenviar el tráfico enviado a través del servidor de comando y control».
Las iteraciones posteriores del malware han aprovechado un descargador, que a su vez contacta con un servidor C2, que responde con un mensaje cifrado que contiene un enlace para recuperar la carga útil de MyloBot.
La evidencia de que MyloBot podría ser parte de algo más grande proviene de una búsqueda DNS inversa de una de las direcciones IP asociadas con la infraestructura C2 de la botnet y tiene conexiones a un dominio llamado clients.bhproxies.result[.]com».
La firma de ciberseguridad con sede en Boston dijo que comenzó a hundir MyloBot en noviembre de 2018 y ve que la botnet evoluciona con el tiempo.