Pesquisa revela que Botnet Mylobot utiliza malware Khalesi para golpe duplo
Laboratório de Pesquisas sobre Ameaças da CenturyLink identifica uma nova tática de infecção por malware distribuída globalmente
Com a habilidade de baixar outros tipos de malware após infectar um computador, o botnet Mylobot está demonstrando sua capacidade para roubar informação. Com técnicas sofisticados de anti-virtual machine e anti-sandboxing para evitar a detecção e a análise, tal como se manter inativo por 14 dias antes de tentar contatar o servidor de comando e controle (C2), a ameaça está se comunicando com cerca de 18.000 IPs exclusivos.
A informação foi revelada em um novo relatório da CenturyLink, Inc. sobre a ameaça. Desde que foi identificado em junho de 2018, o Laboratório de Pesquisas sobre Ameaças da CenturyLink observou o Mylobot baixando Khalesi, uma família de malware disseminada para o roubo de informação, executada como uma segunda etapa de ataques nos hosts infectados.
"O que torna o Mylobot tão perigoso é sua capacidade de baixar e executar qualquer outro tipo de carga essencial que o atacante desejar, e agora temos evidência de que uma dessas cargas é o Khalesi", disse Mike Benjamin, chefe do Laboratório de Pesquisas sobre Ameaças da CenturyLink. "Ao analisar as tendências e métodos globais de ataque de botnets, a CenturyLink pode se antecipar e responder melhor às ameaças em constante evolução, tais como o Mylobot, para defender a nossa própria rede e as de nossos clientes".
Principais Mensagens
- O Laboratório de Pesquisas sobre Ameaças da CenturyLink observou cerca de 18.000 IPs exclusivos se comunicando com C2s do Mylobot.
- Os 10 principais países que originaram os IPs infectados foram Iraque, Irã, Argentina, Rússia, Vietnã, China, Índia, Arábia Saudita, Chile e Egito.
- A CenturyLink bloqueou a infraestrutura do Mylobot em sua rede para mitigar o risco a seus clientes e notificou os provedores de dispositivos infectados para ajuda-los a mitigar as infecções de Mylobot.
- Para as empresas que estão monitorando DNS, o Mylobot pode ser detectado através das até 60.000 consultas de sistemas de nome de domínio (DNS) que os hosts infectados conduzem ao tentar contatar o C2.
Recursos Adicionais
- Descubra como o botnet Satori está ressurgindo com novos alvos: http://news.centurylink.com/2018-10-29-Satori-botnet-resurfaces-with-new-targets.
- Leia o Relatório sobre Ameaças 2018 da CenturyLink: CenturyLinkThreatReport_2018_PT.pdf.
- Descubra a profundidade e o alcance dos Serviços de Segurança da CenturyLink: https://www.youtube.com/watch?v=JLKFz1m68C8.
Website: http://your.level3.com/explorar-solucoes-lp-b311-brasil?gclid=EAIaIQobChMIhr726cby3gIVAovICh1oPQ_ZEAAYASAAEgK1U_D_BwE
Este é um conteúdo comercial divulgado pela empresa Dino e não é de responsabilidade do Terra
