Non scaricate immagini di Taylor Swift. MyKingz botnet !

Ancora steganografia.

 

Evolvere e diversificare sono sono le parole d’ordine dei black-hat. Un massiccia rete bot sta usando una foto della famosa cantante Taylor Swift in cui ha inserito un malware utilizzato per l’estrazione di criptovalute.

La botnet in questione è nota come MyKingz, chiamata anche Smominru, DarkCloud o Hexmen.

 

taylorswift_VIRUS
MyKingz botnet

Ricordate la backdoor chiamata LightNeuron ?

E’ stata sviluppata appositamente per attaccare i server di posta elettronica di Microsoft Exchange. Funziona come agente di trasferimento di posta (MTA), un metodo mai visto prima in una backdoor. “Probabilmente questo è il primo software progettato per attaccare specificamente a Microsoft Exchange”, ha detto uno degli specialisti.

Il punto di forza di LightNeuron è il suo meccanismo di comando e controllo. Una volta che un server Microsoft Exchange è stato infettato e modificato con LightNeuron, gli hacker non si collegheranno mai direttamente ad esso, ma invieranno e-mail con allegati PDF o JPG.

 



 

Ritorniamo a MyKingz botnet.

MyKingz ha dimostrato di essere una delle maggiori minacce per i computer Windows e le reti aziendali basate su sistemi Microsoft. Qualsiasi sistema lasciato senza patch o con porte non protette è molto probabilmente compromesso da questa botnet. Comunque anche con sistemi allineati, MyKingz riesce a fare danni.

La botnet presenta uno dei più diversificati meccanismi di scansione e infezione visti nelle botnet malware. Possono essere scansionati e/o sfruttati servizi che vanno da  MySQL a MS-SQL, da Telnet a SSH e da RDP a servizi meno utilizzati come IPC e WMI. I client target della botnet sono al momento quelli Windows (con prevalenza di Windows 7) dove risulta particolarmente facile la distribuzione di applicazioni di mining di criptovaluta.

La ricerca ha permesso di evidenziare come la botnet cresca molto rapidamente. Fin dalla sua comparsa, si stima che MyKingz abbia infettato oltre 525.000 sistemi Windows, guadagnando Monero (XMR) per oltre 2,3 milioni di dollari.

Gli attori della minaccia abusano della vulnerabilità di EternalBlue, così la botnet è in grado di raggiungere le viscere di qualsiasi rete aziendale. Come se non bastasse, le stime iniziali di poco più di un milione di sistemi infetti sono ormai datate, poiché gli esperti stimano che il numero di infezioni superi già i due milioni di dispositivi.

Sebbene alcuni rapporti sostengano che i creatori della rete bot abbiano smesso di utilizzarla, pochi mesi dopo si sono registrati nuovi segnali di attività, rilevando fino a 4.000 nuove infezioni al giorno.

Il vero problema è che negli ultimi due anni MyKingz ha dimostrato di essere una delle maggiori minacce per i computer Windows e le reti aziendali basate su sistemi Microsoft. Qualsiasi sistema lasciato senza patch o con porte non protette è molto probabilmente compromesso da questa botnet. Comunque, anche con sistemi allineati, MyKingz riesce a fare danni.