新的MyloBot恶意软件变种发送性侵犯电子邮件,索要2732美元比特币

据观察,新版MyloBot恶意软件部署了恶意有效载荷,用于发送性侵犯电子邮件,要求受害者以数字货币支付2732美元。
MyloBot于2018年首次被检测到,它拥有一系列复杂的反调试功能和传播技术,可以将受感染的机器连接到僵尸网络中,更不用说从系统中清除其他竞争恶意软件的痕迹了。
该公司逃避检测和监视的主要方法包括在访问其命令和控制服务器之前延迟14天,以及直接从内存执行恶意二进制文件的设施。
MyloBot还利用了一种称为进程空洞化的技术,其中攻击代码被注入一个暂停和空洞化的进程,以规避基于进程的防御。这是通过取消映射分配给实时进程的内存,并将其替换为要执行的任意代码(在本例中为解码的资源文件)来实现的。
密涅瓦实验室的研究人员娜塔莉·扎尔加洛夫在一份报告中说:“然后,第二阶段的可执行文件会在C:\ProgramData下创建一个新文件夹。”。它在系统目录下查找svchost.exe,并在挂起状态下执行。使用APC注入技术,它将自己注入生成的svchost.exe进程

APC注入类似于进程空洞化,也是一种进程注入技术,可以通过异步过程调用(APC)队列将恶意代码插入现有的受害进程。
感染的下一个阶段涉及在受损主机上建立持久性,利用立足点作为垫脚石,与远程服务器建立通信,获取并执行有效负载,进而解码并运行最终阶段的恶意软件。
该恶意软件旨在滥用端点发送勒索消息,暗示收件人的在线行为,例如访问色情网站,并威胁泄露据称通过侵入其计算机的网络摄像头录制的视频。
密涅瓦实验室对该恶意软件的分析还揭示了其下载额外文件的能力,这表明该威胁行为人留下了一个后门,可以进行进一步的攻击。
扎尔加洛夫说:“这个威胁行为人费了很大劲才扔掉恶意软件,让它不被发现,结果却把它当作勒索邮件发送者。”。“僵尸网络之所以危险,正是因为这种未知的即将到来的威胁。它可以很容易地在所有受感染的端点上投放和执行勒索软件、间谍软件、蠕虫或其他威胁。”