Майнінговий ботнет MyKingz використовує фото Тейлор Свіфт для приховування корисного навантаження

       Експерти компанії Sophos звернули увагу, що ботнет MyKingz, також відомий під назвами Smominru, DarkCloud і Hexmen, тепер використовує стеганографії для зараження цільових машин. Для цих цілей злочинці обрали файл JPG — фото співачки Тейлор Свіфт.

      Вперше ботнет MyKingz був виявлений експертами ще в кінці 2017 року. З тих пір він став однією з найбільш великих майнінгових загроз в світі. Дослідники визнають, що MyKingz володіє одним з найсерйозніших і продуманих механізмів і зараження на «ринку» ботнетів. Так, малваре не випускає з уваги жоден порт, який можна просканувати, і жодну вразливість, яку можна експлуатувати. Під прицілом ботнету знаходиться все: від MySQL до MS-SQL, від Telnet до SSH і від RDP до більш рідкісних речей, таких як IPC і WMI.

      Завдяки такому підходу ботнет ріс дуже швидко. Так, повідомлялося, що тільки в перші місяці свого існування MyKingz заразив більше 525 000 Windows-систем, принісши своїм операторам понад 2,3 мільйона доларів (близько 8900 Monero).

     Гірше того, так як розробники малварі часто використовують експлоїт EternalBlue, загроза нерідко проникає в корпоративні мережі, а значить, фактичний розмір ботнету і доходи злочинців, швидше за все, набагато вище названих експертами цифр. Наприклад, за оцінками Sophos, оператори MyKingz в даний час отримують близько 300 доларів в день. В результаті чого, їх загальний дохід склав вже близько 9 000 XMR, що за поточним курсом дорівнює більш ніж 3 мільйона доларів.

    І хоча, деякі фахівці вважали, що ботнет припинив своє існування, опубліковані цього літа звіти компаній Guardicore і Carbon Black показали, що ботнет все ще живий і заражає безліч комп'ютерів — близько 4700 нових систем в день.

    Тепер експерти Sophos помітили, що в поведінці ботнету знову з'явилися зміни. Так як модуль сканування MyKingz лише виявляє уразливі хости і закріплюється на заражених комп'ютерах, хакерам також потрібен спосіб розгортання малварі у зламаних системах. Для цього в даний час оператори MyKingz експериментують зі стеганографії: шкідливий EXE-файл ховається всередині JPG-зображення з фотографією співачки Тейлор Свіфт.

      Робиться це, щоб обдурити захисне ПЗ, яке працює в корпоративних мережах і не тільки. Так, захист в підсумку «побачить» тільки банальний файл JPEG, а не небезпечний файл EXE.

Цікаво, що це не перший подібний випадок експлуатації фотографій знаменитостей. Так, в минулому році інша малваре використовувала фото актриси Скарлетт Йоханссон для розгортання шкідливих програм у зламаних базах даних PostgreSQL.

10:03
RSS
Немає коментарів. Ваш буде першим!
Завантаження...