La botnet de minería de criptomonedas utiliza una imagen de Taylor Swift para ocultar las cargas útiles de malware


Los operadores de una botnet de minería de criptomonedas están utilizando actualmente una imagen de la cantante pop Taylor Swift para ocultar las cargas de malware que envían a las computadoras infectadas, como parte de su cadena de infección ordinary.

El nombre de la botnet es MyKingz, también conocido como Smominru, DarkCloud o Hexmen, dependiendo de la empresa de seguridad cibernética cuyo informe esté leyendo.

Una breve historia de la botnet MiKingz

MyKingz se vio por primera vez a fines de 2017. Desde entonces, la botnet ha sido la operación de malware de cripto-minería más grande del mercado.

El grupo detrás de MyKingz se enfoca principalmente en infectar sistemas Windows, donde implementan varias aplicaciones de minería de criptomonedas, que utilizan para generar ganancias por los recursos de un dispositivo infectado.

La botnet presenta uno de los mecanismos de infección y escaneo de World-wide-web más diversificados que se ven en las botnets de malware. Si hay un puerto o vulnerabilidad para escanear o explotar, MyKingz está involucrado hasta cierto punto. Todo está dirigido, desde MySQL a MS-SQL, desde Telnet a SSH, y desde RDP a cosas más raras como IPC y WMI.

Esto ha permitido que la botnet crezca muy rápidamente. Según los informes, en sus primeros meses de vida, MyKingz infectó más de 525,000 sistemas Windows, lo que le valió a sus creadores más de $ 2.3 millones en Monero (XMR).

Como la pandilla MyKingz también es un gran admirador de la explotación de EternalBlue, la botnet se entierra profundamente dentro de las redes corporativas, y su tamaño estimado de medio millón de bots es probablemente mucho mayor.

Si bien algunos pensaron que la botnet se había extinguido desde los últimos informes a principios de 2018, Guardicore y Negro carbón Los informes publicados durante el verano revelaron que la botnet todavía estaba muy viva, infectando una gran cantidad de computadoras, estimadas en alrededor de 4,700 nuevos sistemas por día.

La imagen de Taylor Swift

El último desarrollo en el modus operandi de esta botnet fue descubierto este mes por la firma de seguridad del Reino Unido Sophos. El cambio no es un gran problema en el gran esquema de las cosas, pero es interesante y divertido.

A medida que el módulo de escaneo de Web de MyKingz identifica hosts vulnerables y se afianza en las computadoras infectadas, necesitan una forma de implementar varias cargas útiles de malware en los sistemas pirateados.

Según Sophos, el equipo de MyKingz ahora está experimentando con esteganografía, una técnica que les permite ocultar archivos maliciosos dentro de archivos legítimos.

En este caso, el equipo de MyKingz está ocultando un EXE malicioso dentro de una imagen JPEG de la cantante pop Taylor Swift.

taylor-swift-image.jpg

Imagen: Sophos Labs

El propósito de utilizar esta técnica es engañar al software de seguridad que se ejecuta en redes empresariales. Estos productos de seguridad solo verán un sistema host descargando un archivo JPEG banal, en lugar de un archivo EXE muy peligroso.

MyKingz no es, por casualidad, la primera banda de malware que united states of america esteganografía o una imagen de una celebridad. El año pasado, otra banda de malware usó una imagen de la actriz Scarlett Johansson para implementar malware en bases de datos pirateadas de PostgreSQL.

En los últimos meses, las pandillas de malware también han evolucionado lejos de las imágenes, con algunas operaciones de malware experimentando con otros formatos de archivo para ataques basados ​​en esteganografía, como los archivos de audio WAV.

Pero si bien esto podría ser una observación divertida en los recientes ataques de MyKingz, el uso de una imagen de Taylor Swift para ocultar el malware no es el problema serious aquí.

El verdadero problema es que MyKingz ha demostrado ser una de las mayores amenazas para las computadoras con Home windows y las redes empresariales en los últimos dos años. Es muy probable que esta botnet ponga en peligro cualquier sistema que no haya sido parcheado o con puertos desprotegidos.

Sophos estima que los operadores de MyKingz actualmente están ganando alrededor de $ 300 / día, en promedio, llevando su full histórico a alrededor de 9,000 XMR, con un valor de más de $ 3 millones en la actualidad. El último informe de Sophos sobre MyKingz está disponible como un archivo PDF, aquí.



Enlace a la noticia initial