MyloBot nutzt fortgeschrittene Vermeidungs- und Angriffstechniken

Originalartikel von Trend Micro

Sicherheitsforscher haben eine neue Malware namens MyloBot (von Trend Micro als TSPY_MYLOBOT.A identifiziert) gefunden, die fortgeschrittene Vermeidungs-, Infektions- und Verbreitungstechniken aufweist. Das lässt darauf schließen, dass die Autoren über Erfahrung und eine gute Infrastruktur verfügen. Die Schadsoftware wurde in den Systemen eines großen Daten- und Telekommunikationsausrüsters entdeckt. Die Forscher sind noch dabei, die Quelle der Infektion und die Hintermänner zu identifizieren.

Die Malware bildet auf infizierten Maschinen ein Botnet, entfernt jede andere Schadsoftware aus dem System und verursacht weitreichenden Systemschaden. Die Malware umfasst Tastatur-Layout-Scan-Techniken, die es erlauben, die Angriffsroutine zu stoppen, wenn ein bestimmtes asiatisches Zeichen-Setup gefunden wird. Zu den MyloBot-Vermeidungstechniken gehören die folgenden:

  • Anti-VM-Fähigkeiten
  • Anti-Sandbox-Fähigkeiten
  • Anti-Debugging-Fähigkeiten
  • Reflective EXE, eine ungewöhnliche Technik, die EXE-Dateien aus dem Speicher und nicht auf der Festplatte ausführt.
  • Process Hollowing
  • Code Injection
  • Verzögerung von 14 Tagen bei der Command & Control (C&C)-Kommunikation zur Vermeidung von beispielsweise Bedrohungssuche, Sandboxing und Endpoint-Erkennung.

Die Schadsoftware erlaubt es den Angreifern, die volle Kontrolle über die infizierte Maschine zu übernehmen und weitere Payloads wie Banking-Trojaner, Keylogger oder DDoS-Mechanismen hinzuzufügen.

MyloBot deaktiviert bei der Installation Windows Defender sowie Windows Update und blockt die Firewall, um ungehindert agieren und kommunizieren zu können. Die Forscher stellten auch Verbindungen der Programmiermuster zu Dorkbot und Locky her, da die Malware-Autoren möglicherweise mit früheren Angreifern oder gar Verkäufern im Untergrund im Gespräch standen. Dieser Zusammenhang verdichtete sich noch, als der C&C-Server ins Dark Web zurückverfolgt werden konnte, und sie feststellten, dass er bereits in früheren Malware-Angriffen verwendet worden war.

Wie bereits erwähnt, deaktiviert und löscht MyloBot jegliche vorhandene Malware im System, indem der Schädling nach bestimmten Zielverzeichnissen scannt und die Dateien im %APPDATA%-Ordner ausführt. Die Forscher interpretieren dieses Verhalten als eine Reaktion auf die wachsende Konkurrenz zwischen Bedrohungsakteuren.

Diese Bedrohungen machen umso mehr noch fortschrittlichere, proaktive technische Reaktionen auf digitale Erpressung erforderlich. Einige Empfehlungen zum Schutz der Systeme im Unternehmen:

  • Nutzung eines mehrschichtigen Schutzansatzes, um Bedrohungen Gateway bis zum Endpoint zu verhindern, sie zu entdecken und zu entfernen.
  • Regelmäßiges Backup der Dateien nach dem 3-2-1 System, um Datenverlust zu minimieren.
  • Anwenden von Datenkategorisierung und Netzwerksegmentierung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.