MyKings Botnet

Das MyKings-Botnetz (auch bekannt als Smominru und DarkCloud) ist ein Botnetz, das seit einiger Zeit in Betrieb ist und auf ungepatchte oder unter Patches stehende Server abzielt, die auf Windows basieren. Die betreffenden Server hosten in der Regel eine Reihe von Diensten - WMI, Telnet, RDP (Remotedesktopprotokoll), MS-SQL, SSH, MySQL usw. Berichten zufolge sind China (18% aller Opfer) die am stärksten betroffenen Länder. , Taiwan (11%), Russland (7%), Brasilien (7%) und die Vereinigten Staaten (6%). Anscheinend gab es ungefähr 44.000 eindeutige IP-Adressen, die sich als positiv für das Vorhandensein der MyKings-Bedrohung erwiesen haben. Das Endziel von MyKings Botnet ist es, Cryptominers auf den infizierten Hosts zu installieren und mit dem Forshare-Trojaner sicherzustellen, dass alle installierten Miner ordnungsgemäß ausgeführt werden. Bei den in dieser Kampagne verwendeten Kryptominern handelt es sich um Mining für die Kryptowährung Monero. Es wurde geschätzt, dass die Betreiber des MyKings-Botnets bisher erstaunliche 9.000 XMR generiert haben, was ungefähr 3 Millionen US-Dollar entspricht.

Entfernt konkurrierende Bedrohungen vom kompromittierten Host

Das MyKings-Botnetz kann erkennen, ob andere Malware-Stämme auf dem infizierten Host vorhanden sind. Wenn die Bedrohung konkurrierende Malware erkennt, wird sie entfernt, um maximale Effizienz zu gewährleisten. Darüber hinaus kann die MyKings-Malware die Prozesse auf mögliche Verknüpfungen mit Antiviren-Tools überprüfen. Wenn welche entdeckt werden, wird die Bedrohung von MyKings sicherstellen, dass sie beendet wird, damit sie ohne Unterbrechung ausgeführt werden kann. Die MyKings-Komponenten können sich selbst aktualisieren, wodurch sichergestellt wird, dass die Bedrohung weiterhin besteht. Dies wird mithilfe von Windows-Batchdateien und RAR-Archiven erreicht, die sich selbst extrahieren können.

Verwendet Steganographie

Die Betreiber des MyKings Botnet haben sich für eine ziemlich innovative Technik entschieden, um die beschädigten Nutzlasten zu verbergen - die Steganographie. Die Angreifer haben die schlecht ausführbare Datei der Bedrohung in ein scheinbar harmloses Foto von Taylor Swift gepflanzt. Sie verwenden eine geänderte JPG-Datei, um die schädlichen Daten zu verbergen. Malware-Experten konnten es jedoch erkennen, da es den typischen MZ-Header-Text und Bytes enthält. Dieser Trick hilft der MyKings-Bedrohung, ihre neuesten Updates zu installieren. Die MyKings-Bedrohung greift in die Windows-Registrierung ein, um die Persistenz auf dem infizierten Host zu erhöhen. Ein Bootkit stellt sicher, dass die MyKings-Malware beim Neustart des Systems ausgeführt wird.

Bislang hat das MyKings-Botnetz seinen Betreibern eine beeindruckende Menge an Geld eingebracht, und angesichts der Tatsache, dass sie die Bedrohung ständig aktualisieren, ist es wahrscheinlich, dass sie diesen Vorgang in naher Zukunft nicht stoppen werden.