La botnet Mylobot presenta complejas técnicas de evasión

  • Endpoint

La estructura del código en sí es muy compleja. Es un malware de subprocesos múltiples en el que cada subproceso se encarga de implementar diferentes capacidades del malware. Mylobot puede usarse para descargar cualquier carga útil que elija el ciberatacante, así como para ataques DDoS.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Se ha descubierto una botnet inusual llamada Mylobot, que se filtra desde la Dark Web y que muestra un nivel de complejidad nunca visto antes en términos de amplitud de sus diversas herramientas, especialmente en lo que respecta a técnicas de evasión. Según un análisis de Tom Nipravsky, un investigador de seguridad de Deep Instinct, la lista de técnicas empleadas por Mylobot incluye técnicas anti-VM, anti-sandbox y anti-depuración; uso de recursos encriptados; inyección de código; vaciamiento de proceso (donde un atacante crea un nuevo proceso en un estado suspendido, y reemplaza su imagen con la que se va a ocultar); EXE reflexivo, que implica la ejecución de archivos EXE directamente desde la memoria, sin tenerlos en el disco; y un mecanismo de demora de 14 días antes de acceder a sus servidores de C&C.

"La estructura del código en sí es muy compleja: es un malware de subprocesos múltiples en el que cada subproceso se encarga de implementar diferentes capacidades del malware", ha explicado Nipravsky a Threatpost. "El malware contiene tres capas de archivos, anidados entre sí, donde cada capa se encarga de ejecutar la siguiente, y con la última capa usando la técnica EXE reflexivo. El hecho de que todo tenga lugar en la memoria (mientras se ejecuta la lógica de negocio principal de la botnet en un proceso externo mediante la inyección de código) hace que sea aún más difícil de detectar y rastrear”.

En términos de función, Mylobot puede usarse para descargar cualquier carga útil que elijan los ciberatacantes, ya sea criptominería, ransomware, troyanos bancarios, spyware u otro tipo de malware, así como para ataques DDoS. En la campaña examinada estaba descargando la puerta trasera de DorkBot. El método de entrega actual del malware es desconocido.

"Algo importante a mencionar es que el C&C no está alojando el binario de DorkBot, sino que ordena al malware que descargue DorkBot de otro servidor", explica Nipravsky. "La funcionalidad principal de la botnet permite a un atacante tomar el control total del sistema del usuario, y se comporta como una puerta para descargar cargas adicionales de los servidores de comando y control". Mylobot también busca otro malware en las máquinas de destino y desactiva todo lo que encuentre.