¿Qué es el malware Mylobot? Cómo funciona y qué hacer al respecto

¿Qué es el malware Mylobot? Cómo funciona y qué hacer al respecto / Seguridad

La ciberseguridad es un campo de batalla constante. En 2017, los investigadores de seguridad descubrieron unas 23,000 nuevas muestras de malware por día (eso es 795 por hora).

Si bien ese titular es impactante, resulta que la mayoría de estas muestras son variantes del mismo tipo de malware. Sólo tienen un código ligeramente diferente que cada uno crea un “nuevo” firma.

De vez en cuando, sin embargo, aparece una nueva cepa de malware en la escena. Mylobot es un ejemplo de ello: es nuevo, altamente sofisticado y con un gran impulso..

¿Qué es Mylobot??

Mylobot es un malware de botnet ¿Qué es una botnet y su computadora es parte de una? ¿Qué es una botnet y su computadora es parte de una? Las botnets son una fuente importante de malware, ransomware, spam y más. ¿Pero qué es una botnet? ¿Cómo llegan a existir? ¿Quién los controla? ¿Y cómo podemos detenerlos? Lea más que contiene una gran cantidad de intenciones maliciosas. El nuevo malware fue descubierto por primera vez por Tom Nipravsky, un investigador de seguridad de Deep Instinct, quien dice: “La combinación y la complejidad de estas técnicas nunca se vieron en la naturaleza antes.”

Este malware, de hecho, combina una amplia gama de sofisticadas técnicas de infección y ofuscación en un paquete potente. Echar un vistazo:

  • Técnicas de máquina anti-virtual (VM): El malware comprueba su entorno local en busca de signos de una máquina virtual y, si se encuentra, no se ejecuta.
  • Técnicas anti sandbox: Muy similar a las técnicas anti-VM..
  • Técnicas anti-depuración: Detiene a un investigador de seguridad trabajando de manera efectiva y eficiente en una muestra de malware, al alterar el comportamiento en presencia de ciertos programas de depuración.
  • Envolviendo partes internas con un archivo de recursos encriptado: Esencialmente protegiendo aún más el código interno del malware con cifrado.
  • Técnicas de inyección de código: Mylobot ejecuta código personalizado para atacar el sistema, inyectando su código personalizado en los procesos del sistema para obtener acceso e interrumpir el funcionamiento regular.
  • Proceso de vaciado: Un atacante crea un nuevo proceso en un estado suspendido y luego reemplaza el que debe ocultarse..
  • EXE reflexivo: El archivo EXE se ejecuta desde la memoria en lugar del disco.
  • Mecanismo de retardo: El malware permanece inactivo durante 14 días antes de conectarse a los servidores de comando y control.

Mylobot pone mucho esfuerzo en mantenerse oculto.

Las técnicas anti-sandboxing, anti-depuración y anti-VM intentan evitar que el malware aparezca en las exploraciones de antimalware e impiden a los investigadores aislar el malware en una máquina virtual o en un entorno de espacio aislado para el análisis..

El ejecutable reflectante hace que Mylobot sea aún más indetectable, ya que no hay actividad directa en el disco para el análisis de su antivirus o antimalware..

Maniobras evasivas de Mylobot

Según lo que Nipravsky le dijo a Threatpost:

“La estructura del código en sí es muy compleja: es un malware de múltiples subprocesos en el que cada subproceso se encarga de implementar diferentes capacidades del malware..”

Y:

“El malware contiene tres capas de archivos, anidados entre sí, donde cada capa se encarga de ejecutar la siguiente. La última capa está utilizando la técnica [el EXE reflexivo].”

Junto con las técnicas de análisis y detección, Mylobot puede esperar hasta 14 días antes de intentar establecer comunicaciones con sus servidores de comando y control..

Cuando Mylobot establece una conexión, la botnet apaga Windows Defender y Windows Update, y también cierra una serie de puertos de Firewall de Windows. 7 Principales programas de firewall para considerar para la seguridad de su computadora. 7 Principales programas de firewall para considerar para la seguridad de su computadora. Para la seguridad informática moderna. Aquí están sus mejores opciones y cuál es la adecuada para usted. Lee mas .

Mylobot busca y mata a otros tipos de malware

Una de las funciones más interesantes y raras del malware Mylobot es su función de búsqueda y destrucción..

A diferencia de otros tipos de malware, Mylobot está listo para erradicar otros tipos de malware que ya se encuentran en el sistema de destino. Mylobot escanea las carpetas de datos de la aplicación del sistema en busca de archivos y carpetas de malware comunes, y si encuentra un determinado archivo o proceso, Mylobot lo termina.

Nipravsky cree que hay un par de razones para esta actividad de malware rara e hiperagresiva. El aumento del ransomware-as-a-service y otros programas maliciosos de pago por reproducción Ransomware-as-a-Service traerá caos a todos El ransomware-as-a-service traerá caos a todos Ransomware está saliendo de sus raíces como Herramienta de criminales y malhechores en una industria de servicios preocupante, en la que cualquiera puede suscribirse a un servicio de ransomware y usuarios específicos como usted y yo. Las variantes de Leer más han reducido significativamente la barrera para convertirse en un ciber-criminal. Algunos kits de ransomware y exploit con todas las funciones están disponibles de forma gratuita como parte de los programas de afiliados (específicamente, el ransomware Saturno).

Además, el precio para contratar una potente botnet puede bajar extremadamente con un pedido lo suficientemente grande, mientras que otros han anunciado tarifas diarias por solo decenas de dólares.

La facilidad de acceso está invadiendo las actividades establecidas de delitos cibernéticos.

“Los atacantes compiten entre sí para tener la mayor cantidad de 'computadoras zombie' posibles para aumentar su valor al proponer servicios a otros atacantes, especialmente cuando se trata de expandir infraestructuras..”

Como resultado, hay una especie de escalada dramática de la funcionalidad de malware para expandirse más, durar más y obtener recompensas más rentables.

¿Qué hace Mylobot, exactamente?

La funcionalidad principal de Mylobot es exponer el control del sistema al atacante. Desde allí, el atacante tiene acceso a credenciales en línea, archivos del sistema y mucho más..

El daño real es, en última instancia, la decisión de quien esté atacando el sistema. El malware con capacidades de Mylobot puede provocar daños masivos, especialmente cuando se encuentra en el entorno empresarial.

Mylobot también tiene enlaces a otras botnets, como DorkBot, Ramdo y la infame red Locky. Si Mylobot actúa como un conducto para otras redes de bots y tipos de malware, cualquier persona que se enrede con este malware tendrá un tiempo realmente malo:

“El hecho de que la red de bots se comporte como una puerta para cargas útiles adicionales, pone a la empresa en riesgo de fuga de datos confidenciales también, a raíz del riesgo de los keyloggers / instalaciones de troyanos bancarios.”

¿Cómo te mantienes a salvo contra Mylobot??

Bueno, aquí están las malas noticias: se cree que Mylobot ha estado infectando activamente los sistemas durante más de dos años en este momento. Sus servidores de comando y control se utilizaron por primera vez en noviembre de 2015..

Por lo tanto, Mylobot parece haber esquivado a todos los demás investigadores y empresas de seguridad durante bastante tiempo antes de encontrarse con las herramientas de investigación cibernética de Deep Instinct Deep Learning..

Desafortunadamente, sus herramientas regulares de antivirus y antimalware no van a seleccionar algo como Mylobot, por el momento, al menos.

Ahora que hay una muestra de Mylobot, más firmas de seguridad e investigadores pueden usar la firma. A su vez, mantendrán las pestañas más cerca de Mylobot..

¡Mientras tanto, debes revisar nuestra lista de las mejores herramientas de antivirus y de seguridad para computadoras! Si bien es posible que su antivirus o antimalware habitual no detecte Mylobot, hay muchos otros programas maliciosos por ahí definitivamente se detendrá.

Sin embargo, si es demasiado tarde para usted y ya está preocupado por una infección, consulte nuestra guía completa para la eliminación de malware La guía completa de eliminación de malware La guía completa de eliminación de malware El malware está en todas partes hoy en día, y eliminar el malware de su sistema es una Proceso largo, que requiere orientación. Si crees que tu computadora está infectada, esta es la guía que necesitas. Lee mas . Lo ayudará a usted y a su sistema a superar la gran mayoría de malware, así como a comenzar a tomar medidas para evitar que vuelva a suceder..

Explorar más sobre: ​​Seguridad informática, Malware.