MyloBot Botnet lan rộng nhanh chóng, hơn 50.000 thiết bị bị lây nhiễm mỗi ngày

Một mạng botnet nguy hiểm và phức tạp có tên MyloBot đã xâm phạm hàng nghìn hệ thống, hầu hết nằm ở Ấn Độ, Mỹ, Indonesia và Iran. Hiện có hơn 50.000 hệ thống khác nhau bị nhiễm mỗi ngày. 

Điều khiến Mylobot trở nên nguy hiểm là khả năng tải xuống và thực thi bất kỳ loại payload nào sau khi nó lây nhiễm vào máy chủ. Điều này có nghĩa là bất cứ lúc nào nó cũng có thể tải xuống bất kỳ loại phần mềm độc hại nào mà kẻ tấn công muốn. 

MyloBot được thiết kế để giải nén và khởi chạy phần mềm độc hại bot thông qua nhiều giai đoạn. Đáng chú ý, nó sẽ không hoạt động trong 14 ngày trước khi kết nối với máy chủ C2 để tránh bị phát hiện. 

Chức năng chính của botnet là thiết lập kết nối đến một domain C2 đã xác định và chờ lệnh từ nó. Khi MyloBot nhận được lệnh từ C2, nó sẽ biến máy bị nhiễm thành một proxy. Máy bị nhiễm sẽ có thể xử lý nhiều kết nối và chuyển tiếp lưu lượng được gửi qua máy chủ C2. Nó tận dụng một trình tải xuống để liên hệ với máy chủ C2, máy chủ này sẽ phản hồi bằng một thông báo được mã hóa có chứa liên kết để truy xuất payload MyloBot. 

MyloBot xuất hiện lần đầu tiên vào 2017 và hoạt động như một trình tải xuống. Năm ngoái, mã độc này được phát hiện đã gửi email tống tiền từ các endpoint bị tấn công để yêu cầu khoản tiền chuộc 2.732$ Bitcoin. 

Nguồn: Thehackernews.com