Una botnet sofisticada conocida como MyloBot ha comprometido miles de sistemas, la mayoría de ellos ubicados en India, EE. UU., Indonesia e Irán.
Eso es según los nuevos hallazgos de BitSight, que dicho está «actualmente viendo más de 50,000 sistemas infectados únicos todos los días», por debajo de un máximo de 250,000 hosts únicos en 2020.
Además, un análisis de la infraestructura de MyloBot encontró conexiones a un servicio de proxy residencial llamado BHProxies, lo que indica que las máquinas comprometidas están siendo utilizadas por este último.
MyloBot, que surgió en el panorama de amenazas en 2017, fue documentado por primera vez por Deep Instinct en 2018, destacando sus técnicas anti-análisis y su capacidad para funcionar como un descargador.
«Lo que hace que Mylobot sea peligroso es su capacidad para descargar y ejecutar cualquier tipo de carga útil después de que infecta un host», Black Lotus Labs de Lumen. dicho en noviembre de 2018. «Esto significa que en cualquier momento podría descargar cualquier otro tipo de malware que desee el atacante».
El año pasado, se observó que el malware enviaba correos electrónicos de extorsión desde puntos finales pirateados como parte de una campaña motivada financieramente que buscaba más de $ 2,700 en Bitcoin.
Se sabe que MyloBot emplea una secuencia de varias etapas para desempaquetar y ejecutar el malware bot. En particular, también permanece inactivo durante 14 días antes de intentar comunicarse con el servidor de comando y control (C2) para eludir la detección.
La función principal de la red de bots es establecer una conexión con un dominio C2 codificado de forma rígida incrustado en el malware y esperar más instrucciones.
«Cuando Mylobot recibe una instrucción del C2, transforma la computadora infectada en un proxy», dijo BitSight. «La máquina infectada podrá manejar muchas conexiones y retransmitir el tráfico enviado a través del servidor de comando y control».
Las iteraciones posteriores del malware aprovecharon un programa de descarga que, a su vez, contacta con un servidor C2, que responde con un mensaje cifrado que contiene un enlace para recuperar la carga útil de MyloBot.
La evidencia de que MyloBot podría ser parte de algo más grande proviene de una búsqueda inversa de DNS de una de las direcciones IP asociadas con la infraestructura C2 de la botnet que reveló vínculos con un dominio llamado «clients.bhproxies».[.]com».
La compañía de ciberseguridad con sede en Boston dijo que comenzó a hundir MyloBot en noviembre de 2018 y que sigue viendo cómo evoluciona la red de bots con el tiempo.