El malware MyloBot, que se descubrió por primera vez en 2018, ahora regresa con un nuevo esquema malicioso para las víctimas.
Según investigadores de ciberseguridad, la nueva variante de este virus se basa en enviar correos electrónicos de sextorsión a las víctimas. Los piratas informáticos detrás de esta amenaza también pedirán a las víctimas que paguen 2.732 dólares en Bitcoin.
¿Qué es MyloBot?
(Foto: Austin Distel de Unsplash)
MyloBot ha llegado en su última forma. Según se informa, el malware que regresa exige el pago en criptomonedas a las víctimas mediante el envío de mensajes de sextorsión.
Este sofisticado malware no sólo infecta los sistemas lanzando métodos de propagación a la botnet. Además, MyloBot, que apareció por primera vez en 2018, también puede borrar todos los rastros restantes que el resto de malware dejó en las redes afectadas.
Este código malicioso, según noticias de piratas informáticos, es un experto en evadir la detección de seguridad. Antes de ejecutar sus archivos binarios de memoria “maliciosos” y sumergirse en los servidores de comando y control, habría un retraso de 14 días antes de que se llevaran a cabo estas acciones.
Cómo MyloBot ataca un sistema
En primer lugar, este malware se basa en el vaciado de procesos, un procedimiento que suele ocurrir al vaciar la memoria de un proceso. Antes de eso, primero debe crearse en estado suspendido.
Después de eso, el hacker desasignará la memoria al proceso en vivo. El código ejecutable arbitrario será reemplazado posteriormente. Esto podría venir en forma de un archivo de recursos que ya esté decodificado.
En un informe de seguridad de Laboratorios Minervala investigadora de ciberseguridad Natalie Zargarov escribió que para la segunda etapa se creará una nueva carpeta en C:\ProgramData.
“Busca svchost.exe en un directorio del sistema y lo ejecuta en estado suspendido. Usando un inyección APC técnica, se inyecta en el proceso svchost.exe generado”, añadió.
En cuanto al proceso de vaciado, existe otro proceso que es bastante similar. La inyección de APC (llamada a procedimiento asíncrono) funciona vinculando un código malicioso a la cola de APC.
El servidor remoto ahora estará configurado para la siguiente fase de la infección MyloBot. A partir de ahí, el hacker ahora podría enviar una carga útil al host infectado. El malware ahora será decodificado antes de ejecutarse en el proceso.
Según el artículo, los ciberdelincuentes detrás de este acto de amenaza amenazan a sus víctimas enviándoles mensajes de extorsión. Algunas actividades maliciosas incluyen filtrar el comportamiento del destinatario detrás de la cámara web y visitar sitios pornográficos.
Además, Minerva Labs también descubrió que la nueva variante del malware Mylobot puede dejar un rastro para futuros ataques. También puede descargar otros archivos útiles para la campaña maliciosa.
Malware descubierto recientemente
En otra noticia de Tech Times, se descubrió que los piratas informáticos estaban lanzando una nueva campaña de phishing que involucraba el malware BazarBackdoor. Según el informe, este troyano se basa en infectar el sistema a través de archivos de texto CSV.
Los expertos en ciberseguridad advirtieron a los usuarios que debían tener cuidado al hacer clic en correos electrónicos sobre consejos de pago.
En otro lugar, el mismo sitio de tecnología informó que recientemente apareció un nuevo malware para Android. El notorio malware Joker ha infectado siete aplicaciones en el último ataque. Esta es la razón por la que la empresa de seguridad móvil Pradeo recomendó a los usuarios que eliminen estas aplicaciones ya.
Este artículo es propiedad de Tech Times.
ⓒ 2023 . .
