Si chiama MyloBot la nuova botnet considerata una delle più sofisticate mai viste. Stando a quanto riportato, avrebbe la capacità di disabilitare Windows Defender e Windows Update, per poi attuare diverse tecniche di hacking.
Una delle caratteristiche principali della botnet è di certo quella di passare quasi totalmente inosservata. Passando per tre livelli di operazioni, MyloBot ha come obiettivo finale quello di installare un ransomware che, in caso di mancato pagamento, porterebbe ad un attacco DDoS.
La lista delle sofisticate tecniche
Gli autori del malware usano una varietà di tecniche durante l’attacco. Queste vengono messe in atto principalmente per evitare che MyloBot venga individuato durante le scansioni. Le tecniche sono le seguenti:
– Anti VM (Virtual Machine, ovvero un sistema virtualizzato che emula un computer fisico sfruttando solo una piccola parte di hardware);
– Anti-Sandbox (per Sandbox si intende un sistema dedicato ai test di applicativi);
– Anti-Debugging;
– Isolare componenti hardware con file crittografati;
– Code Injection (lo sfruttamento di un bug nel codice di un sistema per poterlo modificare a piacimento);
– Process Hollowing (una particolare forma di Code Injection che sfrutta un iniziale codice benigno da modificare successivamente all’avvio di un determinato processo).
Inoltre, per aumentare la difficoltà di individuazione, MyloBot è in grado di rimanere inattivo sulla macchina infettata per ben 14 giorni.
Un tecnica insolita
L’elemento che contraddistingue questa botnet dalle altre è la capacità di eliminare altri eventuali malware presenti sul computer. Infatti, per assicurarsi il pieno controllo del dispositivo, MyloBot è stato progettato per individuare qualunque altri tipo di malware solitamente presente in cartelle come “Application Data”. Inoltre è in grado di individuare le cartelle specifiche di altre botnet, come DorkBot, in modo da terminare i processi ed eliminarle.
Questa tecnica viene usata prevalentemente per scopi di lucro nel Deep Web. Maggiore è il numero di computer appartenenti alla propria botnet, maggiore sarà il guadagno rispetto agli altri hacker.
Il funzionamento
Una volta installato, MyloBot disabilita Windows Defender e Windows Update, per poter successivamente eliminare i file .EXE presenti nella cartella “App Data”.
A questo punto, la botnet provvede a prendere il controllo del computer, per poter passare allo step successivo: il payload. Per payload si intende la routine che viene messa in atto dal malware una volta infettato il pc.
Come già abbiamo accennato, l’obiettivo finale è quello di estorcere denaro alla vittima. MyloBot prevede due piani di azione, cioè l’installazione di un ransomware o di un banking trojan. Nel primo caso il pc viene reso inutilizzabile, minacciando la vittima di eliminare tutti i dati nel caso non venga versata una determinata somma. Nel secondo caso l’hacker si servirà di un trojan, progettato per il sistema bancario, in modo da sottrarre tutti i dati sensibili della vittima.
Per rimanere informati sul mondo nerd, continuate a seguirci sul nostro sito DrCommodore.it e su Facebook, Instagram, Telegram, YouTube, Discord e Twitch.
