一個名為"Mylobot"的復雜的僵屍網絡已經破壞全世界數以萬計的系統,主要影響來自印度、美國、印度尼西亞和伊朗的系統,僵屍網絡是一個由感染惡意軟件的計算機組成的網絡,在所有者不知情的情況下被控制,以發送垃圾郵件,分發惡意軟件,並竊取敏感數據。
網絡安全評級公司BitSight表示,它目前每天記錄有超過5萬個獨特的系統感染Mylobot僵屍網絡。雖然這比2020年初的25萬個有所減少,但BitSight認為,他們隻看到整個僵屍網絡的一部分。
Mylobot在2018年首次被網絡安全公司Deep Instinct記錄下來,該公司發現該僵屍網絡具有反分析技術和推送下載器的能力。幾個月後,該僵屍網絡也被技術公司Lumen的黑蓮花實驗室觀察到。"使Mylobot變得危險的是它能夠在感染主機後下載和執行任何類型的載荷,"其博客稱。"這意味著在任何時候,它都可以下載攻擊者想要的任何其他類型的惡意軟件。"
Mylobot僵屍網絡有以下特點:
反虛擬機、沙盒和調試技術
用加密的資源文件包裝內部零件
代碼註入
進程空洞化:一種安全漏洞,攻擊者會刪除可執行文件中的代碼,並以惡意的代碼取代之
反射式EXE:直接從內存中執行EXE文件,而不在磁盤出現上的行為
然而,最值得註意的是,Mylobot可以保持14天的潛伏狀態以逃避檢測。一旦這段時間過,僵屍網絡就會聯系其指揮和控制(C&C)中心,並等待進一步的指示。在收到指令後,它將受感染的個人電腦轉變為一個代理。然後,受感染的機器將能夠處理各種連接並轉發通過C&C服務器發送的流量。
2020年,Mylobot僵屍網絡被發現根據用戶的在線使用情況向其發送勒索郵件。如果用戶訪問一個色情網站,他們隨後會收到一封電子郵件,威脅要泄露他們通過網絡攝像頭錄制的露骨視頻,除非他們支付大約2700美元購買並轉移加密貨幣。