Um botnet conhecido como MyloBot vem se espalhando rapidamente e comprometendo milhares de sistemas, a maioria deles localizados na Índia, Estados Unidos, Indonésia e Irã. Isso foi descoberto pela BitSight, que disse que “atualmente está vendo mais de 50.000 sistemas infectados únicos todos os dias”, abaixo dos 250.000 hosts únicos em 2020.
MyloBot Botnet infectando milhares de sistemas diariamente
Uma análise da infraestrutura do MyloBot encontrou conexões com um serviço de proxy residencial chamado BHProxies, indicando que as máquinas comprometidas estão sendo usadas por este último. O MyloBot surgiu no cenário de ameaças em 2017 e foi documentado pela primeira vez pelo Deep Instinct em 2018, destacando suas técnicas anti-análise e sua capacidade de funcionar como um downloader.
“O que torna o Mylobot perigoso é sua capacidade de baixar e executar qualquer tipo de carga após infectar um host”, disse o Black Lotus Labs da Lumen em novembro de 2018 (Via: The Hacker News). Ou seja, a qualquer momento ele pode baixar qualquer outro tipo de malware que o invasor desejar.
No ano passado, o malware foi observado enviando e-mails de extorsão de endpoints hackeados como parte de uma campanha motivada financeiramente buscando mais de US$ 2.700 (cerca de quase R$ 14 mil) em Bitcoin.
Ação do botnet
O MyloBot é conhecido por empregar uma sequência de vários estágios para descompactar e iniciar o malware do bot. Além disso, ele também fica ocioso por 14 dias antes de tentar entrar em contato com o servidor de comando e controle (C2) para evitar a detecção. A principal função do botnet é estabelecer uma conexão com um domínio C2 embutido no malware e aguardar mais instruções.
De acordo com a BitSight, quando o Mylobot recebe uma instrução do C2, ele transforma o computador infectado em um proxy. Além disso, a máquina infectada será capaz de lidar com muitas conexões e retransmitir o tráfego enviado pelo servidor de comando e controle. As iterações subsequentes do malware aproveitaram um downloader que entra em contato com um servidor C2, que responde com uma mensagem criptografada contendo um link para recuperar a carga útil do MyloBot.
A evidência de que o MyloBot poderia fazer parte de algo maior vem de uma pesquisa DNS reversa de um dos endereços IP associados à infraestrutura C2 do botnet, revelando vínculos com um domínio chamado “clients.bhproxies[.]com”. A empresa de segurança cibernética disse que começou a afundar o MyloBot em novembro de 2018 e que continua vendo a botnet evoluir com o tempo.