Såkalte botnett, nettverk av skadevare-infiserte datamaskiner som brukes til å utføre ulike typer ondsinnet aktiviteter, er et vedvarende og økende problem. Nå meldes det om en skadevare som brukes til å bygge et raskt voksende botnett. Det skriver Hacker News.
Det amerikanske sikkerhetsselskapet Bitsight rapporterer om en skadevare døpt Mylobot, som først dukket opp på radaren til sikkerhetsforskere i 2017, men som hittil ikke har fått spesielt mye oppmerksomhet.
50.000 infeksjoner daglig
Mylobot infiserer ifølge Bitsight 50.000 datamaskiner daglig, men selskapet sier de trolig bare har sett begynnelsen, og at toppen kan ligge på rundt 150.000 daglige infeksjoner. På det aller meste, i 2020, registrerte selskapet hele 250.000 daglige infeksjoner.
Skadevaren har rammet land på samtlige kontinenter, primært USA og store deler av Asia. Bitsight har imidlertid også inkludert Europa på kartet over regionene som er rammet, deriblant Storbritannia, Tyskland og Frankrike.
Hovedfunksjonen til skadevaren er altså å forvandle den infiserte enheten til en «bot» og vente på instruksjoner fra en C2-server (command and control), som kontrolleres av ondsinnede aktører. Selve «nyttelasten» til skadevaren kan ta mange ulike former.
Bitsight refererer til flere andre selskaper som tidligere har omtalt skadevaren. Sikkerhetsavdelingen til det amerikanske teleselskapet Lumen, Black Lotus Labs, publiserte en artikkel i 2018 hvor Mylobot ble omtalt som en sofistikert skadevare primært kategorisert som en «downloader» som kan brukes til nesten hva som helst – noe som gjør den ekstra skadelig.
Vanskelig å oppdage
– Det som gjør Mylobot farlig, er dens evne til å laste ned og kjøre hvilken som helst nyttelast etter at den har infisert en vert. Dette betyr at den når som helst kan laste ned en hvilken som helst annen skadevare som angriperen ønsker, skrev selskapet.
Den andre sentrale egenskapen til Mylobot er at skadevaren benytter en rekke sofistikerte teknikker for å unngå å bli oppdaget, og har evnen til å ligge ubemerket på offerets maskin i lang tid. For eksempel «venter» skadevaren i 14 dager etter infeksjonen før den kontakter C2-serveren.
I tillegg bruker skadevaren metoder for å oppdage virtuelle maskiner og sandkasse-funksjoner på den infiserte enheten. Den har også anti-feilsøkingsfunksjoner (debugging) og mulighet til å utføre noe som kalles «process hollowing», som i korte trekk innebærer å erstatte legitim kode i en prosess med ondsinnet kode for på den måten å forbli skjult.
Sikkerhetsselskapet Minerva, som også har omtalt Mylobot i teknisk detalj, beskrev skadevaren som et av de «mest unnvikende» botnettene som fantes da det ble oppdaget i 2018.
Mer informasjon kan man finne i Bitsights tekniske rapport.
En av verdens farligste skadevarer har gjenoppstått – og øker kraftig
