MyKings Botnet

La botnet MyKings (también conocida como Smominru y DarkCloud) es una botnet que ha estado en funcionamiento durante un tiempo y tiende a apuntar a servidores sin parches o con parches que están basados en Windows. Los servidores en cuestión tienden a alojar una variedad de servicios: WMI, Telnet, RDP (Remote Desktop Protocol), MS-SQL, ssh, MySQL, etc. Según los informes, los países más afectados son China (18% de todas las víctimas) , Taiwán (11%), Rusia (7%), Brasil (7%) y Estados Unidos (6%). Aparentemente, ha habido aproximadamente 44,000 direcciones IP únicas aproximadamente, que han dado positivo por la presencia de la amenaza MyKings. El objetivo final de MyKings Botnet es instalar cryptominers en los hosts comprometidos y usar el troyano Forshare para asegurarse de que todos los mineros plantados estén funcionando según lo previsto. Los criptomineros utilizados en esta campaña están explotando la criptomoneda Monero. Se ha estimado que hasta ahora, los operadores de MyKings Botnet han generado la asombrosa cifra de 9,000 XMR, que es de aproximadamente $ 3 millones.

Elimina las amenazas competitivas del host comprometido

MyKings Botnet puede reconocer si hay otras cepas de malware que están presentes en el host comprometido. En caso de que la amenaza detecte la presencia de malware competidor, se eliminará para garantizar la máxima eficiencia. Además, el malware MyKings puede escanear los procesos en busca de cualquiera que pueda estar vinculado a herramientas antivirus. Si se detecta alguno, la amenaza MyKings se asegurará de terminarlo para que se ejecute sin interrupciones. Los componentes de MyKings pueden actualizarse automáticamente, lo que garantiza que la amenaza siga siendo potente. Esto se logra con la ayuda de archivos por lotes de Windows y archivos RAR que pueden autoextraerse.

Utiliza esteganografía

Los operadores de MyKings Botnet han optado por utilizar una técnica bastante innovadora para ocultar sus cargas dañadas: la esteganografía. Los atacantes han plantado el ejecutable malo de la amenaza en una fotografía aparentemente inofensiva de Taylor Swift. Usan un archivo .jpg modificado para ocultar los datos maliciosos. Sin embargo, los expertos en malware pudieron detectarlo, ya que contiene el texto y los bytes del encabezado MZ típico. Este truco ayuda a la amenaza MyKings a aplicar sus actualizaciones más recientes. La amenaza MyKings alterará el Registro de Windows para obtener persistencia en el host infectado. Un bootkit se asegura de que el malware MyKings se ejecute al reiniciar el sistema.

MyKings Botnet, hasta ahora, ha generado una cantidad impresionante de efectivo para sus operadores, y teniendo en cuenta que siguen actualizando la amenaza, es probable que no detengan esta operación en el futuro cercano.