MyKings Botnet

Le Botnet MyKings (également connu sous le nom de Smominru et DarkCloud) est un botnet qui fonctionne depuis un certain temps et tend à cibler les serveurs non corrigés ou sous correctifs basés sur Windows. Les serveurs en question ont tendance à héberger une gamme de services - WMI, Telnet, RDP (Remote Desktop Protocol), MS-SQL, ssh, MySQL, etc. Selon les rapports, les pays les plus touchés sont la Chine (18% de toutes les victimes) , Taiwan (11%), la Russie (7%), le Brésil (7%) et les États-Unis (6%). Apparemment, il y avait environ 44 000 adresses IP uniques, qui ont été testées positives pour la présence de la menace MyKings. L'objectif final du MyKings Botnet est d'installer des cryptomineurs sur les hôtes compromis et d'utiliser le cheval de Troie Forshare pour vous assurer que tous les mineurs plantés fonctionnent comme prévu. Les cryptomères utilisés dans cette campagne exploitent la crypto-monnaie Monero. Il a été estimé que jusqu'à présent, les opérateurs du MyKings Botnet ont généré un incroyable 9 000 XMR, ce qui représente environ 3 millions de dollars.

Supprime les menaces concurrentes de l'hôte compromis

Le MyKings Botnet est capable de reconnaître s'il existe d'autres souches de logiciels malveillants présentes sur l'hôte compromis. Si la menace détecte la présence de logiciels malveillants concurrents, elle sera supprimée pour garantir une efficacité maximale. De plus, le malware MyKings est capable d'analyser les processus pour détecter ceux qui pourraient être liés à des outils antivirus. Si certains sont détectés, la menace MyKings s'assurera de les arrêter afin qu'elle s'exécute sans interruption. Les composants MyKings sont capables de s'auto-mettre à jour, ce qui garantit que la menace reste puissante. Ceci est réalisé à l'aide de fichiers de commandes Windows et d'archives RAR capables de s'auto-extraire.

Utilise la stéganographie

Les opérateurs du MyKings Botnet ont choisi d'utiliser une technique plutôt innovante pour cacher ses charges utiles corrompues - la stéganographie. Les attaquants ont planté le mauvais exécutable de la menace dans une photographie apparemment inoffensive de Taylor Swift. Ils utilisent un fichier .jpg modifié pour masquer les données malveillantes. Cependant, les experts en logiciels malveillants ont pu le repérer, car il contient le texte et les octets typiques de l'en-tête MZ. Cette astuce aide la menace MyKings à appliquer ses dernières mises à jour. La menace MyKings va altérer le registre Windows pour gagner en persistance sur l'hôte infecté. Un bootkit s'assure que le malware MyKings est exécuté lors du redémarrage du système.

Le MyKings Botnet, jusqu'à présent, a généré une quantité impressionnante de liquidités pour ses opérateurs, et sachant qu'ils continuent de mettre à jour la menace, il est probable qu'ils n'interrompent pas cette opération dans un avenir proche.