Ботнет Mylobot, который попал на радары ИБ-экспертов в июне 2018 года, устанавливает жертвам шпионский троян Khalesi. По словам специалистов, число жертв приближается к 20 тыс., под ударом пользователи из 10 стран, в том числе России.

Продвинутый зловред Mylobot применяет сразу несколько техник для противодействия защитным системам. Он умеет обнаруживать виртуальные среды, блокировать Защитник Windows и средства автоматического обновления ОС.

Одна из особенностей ботнета в том, что он начинает активные действия только через 14 дней после заражения компьютера. Это позволяет ему избегать блокирования антивирусными песочницами. Для связи с командным сервером он использует более 1,4 тыс. вшитых пар доменов с портами. Плотный поток DNS-запросов (более 60 тыс. с каждого бота) помогает администраторам отследить заражение.

Эксперты сразу заключили, что такие богатые возможности позволят Mylobot эффективно распространять любое опасное ПО. Как сообщили аналитики CenturyLink, ботнет продвигает шпионское ПО Khalesi. В первой половине 2018 года этот троян стал третьим по популярности в бот-сетях. По информации «Лаборатории Касперского», на него пришлось около 5% всех скачанных ботнетами файлов. Вредонос охотится за учетными данными для доступа к интернет-ресурсам и банковским сервисам.

В рамках нынешней кампании эксперты обнаружили следы активности Mylobot на 18 тыс. компьютеров в Аргентине, Вьетнаме, Египте, Индии, Ираке, Иране, Китае, России, Саудовской Аравии и Чили. В каждом случае зловред загружал одни и те же два файла, которые позже удалось определить как составные части Khalesi. На данный момент Mylobot работает только с этой полезной нагрузкой, хотя ситуация может поменяться в любой момент.

Ранее в ноябре эксперты обнаружили еще один новый ботнет — вредонос BCMUPnP_Hunter смог за два месяца поразить сотни тысяч роутеров, используя их для рассылки спама.

Категории: Вредоносные программы, Хакеры