Eine neue Version der MyloBot-Malware wurde dabei beobachtet, wie sie bösartige Nutzdaten versendet, die dazu genutzt werden, Sextortion-E-Mails zu verschicken, in denen die Opfer aufgefordert werden, 2.732 US-Dollar in digitaler Währung zu zahlen.
MyloBot, der erstmals 2018 entdeckt wurde, verfügt über eine Reihe ausgeklügelter Anti-Debugging-Funktionen und Ausbreitungstechniken, um infizierte Rechner in ein Botnetz einzubinden und Spuren anderer konkurrierender Malware von den Systemen zu entfernen.
Zu den wichtigsten Methoden, um der Entdeckung zu entgehen und unter dem Radar zu bleiben, gehören eine Verzögerung von 14 Tagen vor dem Zugriff auf die Command-and-Control-Server und die Möglichkeit, bösartige Binärdateien direkt aus dem Speicher auszuführen.
MyloBot nutzt auch eine Technik namens Process Hollowing, bei der der Angriffscode in einen angehaltenen und ausgehöhlten Prozess injiziert wird, um prozessbasierte Verteidigungsmaßnahmen zu umgehen. Dies wird erreicht, indem der dem laufenden Prozess zugewiesene Speicher freigegeben und durch den auszuführenden beliebigen Code ersetzt wird, in diesem Fall eine entschlüsselte Ressourcendatei.
„Die ausführbare Datei der zweiten Stufe legt dann einen neuen Ordner unter C:\ProgramData an“, so Minerva Labs-Forscher Natalie Zargarov in einem Bericht. „Es sucht nach svchost.exe in einem Systemverzeichnis und führt es im angehaltenen Zustand aus. Mithilfe einer APC-Injection-Technik injiziert er sich in den gespawnten svchost.exe-Prozess.“
APC-Injection ist ähnlich wie Process Hollowing eine Prozessinjektionstechnik, die es ermöglicht, über die Warteschlange für asynchrone Prozeduraufrufe (APC) bösartigen Code in einen bestehenden Opferprozess einzufügen.
Die nächste Phase der Infektion besteht darin, sich auf dem kompromittierten Rechner festzusetzen und von dort aus die Kommunikation mit einem entfernten Server herzustellen, um eine Nutzlast abzurufen und auszuführen, die wiederum die Malware im Endstadium entschlüsselt und ausführt.
Diese Malware soll den Endpunkt dazu missbrauchen, Erpressernachrichten zu verschicken, die auf das Online-Verhalten der Empfänger anspielen, wie z. B. den Besuch von Pornoseiten und die Drohung, ein Video zu veröffentlichen, das angeblich durch Einbruch in die Webcam des Computers aufgenommen wurde.
Die Analyse der Malware durch Minerva Labs zeigt auch, dass sie in der Lage ist, zusätzliche Dateien herunterzuladen, was darauf hindeutet, dass der Bedrohungsakteur eine Hintertür für weitere Angriffe hinterließ.
„Dieser Bedrohungsakteur hat sich viel Mühe gegeben, um die Malware unentdeckt zu lassen, nur um sie dann als Absender für Erpressungsmails zu nutzen“, so Zargarov. „Botnetze sind genau wegen dieser unbekannten, aufkommenden Bedrohung gefährlich. Es könnte genauso gut Ransomware, Spyware, Würmer oder andere Bedrohungen auf allen infizierten Endgeräten absetzen und ausführen.“