Alcuni ricercatori hanno pubblicato un nuovo rapporto su una botnet "implacabile" che mina criptovalute, che pare si nasconda dietro a contenuti apparentemente innocui, come le immagini JPEG di Taylor Swift.

La botnet - nota come MyKings (o in alternativa come DarkCloud o Smominru) - è attiva dal 2016, secondo un comunicato stampa pubblicato il 18 dicembre da Gabor Szappanos su SophosLabs.

Anche se i dispositivi più vecchi sono stati a lungo vulnerabili ai suoi attacchi, recentemente le entità dietro MyKings hanno aggiunto delle funzionalità bootkit, rendendo il malware ancora più resistente al rilevamento e alla rimozione.

3 milioni di dollari in Monero minati illecitamente tramite MyKings

Il rapporto di SophosLabs fornisce una panoramica completa delle operazioni della botnet, che Szappanos definisce come "un aggressore inesorabilmente ridondante" che attacca principalmente i servizi basati su Windows che ospitano sistemi di gestione di database come MqSQL e MS-SQL, i protocolli di rete come Telnet e persino i server utilizzati per archiviare i dati delle telecamere TVCC.

Il rapporto rileva che i creatori della botnet sembrano preferire l'uso di software open source o comunque di dominio pubblico, e sono altamente qualificati nel personalizzare e migliorare il codice sorgente per inserire componenti personalizzati in grado di eseguire attacchi e processi di aggiornamento automatizzati.

La botnet lancia una serie di attacchi contro un server con l'obiettivo di trasmettere il file eseguibile di un malware, spesso un trojan soprannominato "Forshare", che pare sia il payload più comune sui server infetti.

Forshare viene utilizzato per garantire che diversi miner di Monero (XMR) vengano eseguiti sui dispositivi affetti, che secondo SophosLabs avrebbero già fruttato agli hacker oltre 3 milioni di dollari.

Non è quello che sembra

Fonte: SophosLabs Uncut Report

Nell'esempio studiato - un'immagine impercettibilmente modificata della pop star Taylor Swift - SophosLabs spiega che la foto .jpg era stata caricata in un repository pubblico, e nasconde al suo interno un eseguibile che aggiorna automaticamente la botnet quando scaricata.

La ricerca di SophosLabs rivela la natura sofisticata del meccanismo di persistenza di MyKings, che fa uso di procedure aggressive di ripetizione e auto-aggiornamento che utilizzano più combinazioni di comandi.

“Anche se la maggior parte dei componenti della botnet viene rimossa dal computer, quelli rimanenti hanno la capacità di ripristinarla completamente semplicemente aggiornandosi. Tutto questo è orchestrato utilizzando archivi RAR autoestraenti e file batch di Windows. ”

Il rapporto indica che i paesi con il maggior numero di dispositivi infetti sono attualmente Cina, Taiwan, Russia, Brasile, Stati Uniti, India e Giappone.

Monero e crimine

A novembre, Cointelegraph ha riportato che il software disponibile per il download sul sito ufficiale di Monero (getmonero.org) è stato compromesso e sostituito con un malware che ruba criptovalute dai wallet degli utenti.

Nello stesso mese, la società di sicurezza software slovacca Eset ha rivelato che alcuni criminali informatici che gestiscono una botnet nota come Stantinko avevano distribuito un modulo per il mining di Monero tramite YouTube.