Tecnología

La botnet MyKings sigue activa y genera enormes cantidades de dinero

Rey

La botnet MyKings (también conocida como Smominru o DarkCloud) todavía se está extendiendo activamente, generando enormes cantidades de dinero en cripto, cinco años después de su primera aparición en la naturaleza.

Al ser una de las redes de bots más analizadas en la historia reciente, MyKings es particularmente interesante para los investigadores gracias a su vasta infraestructura y características versátiles, que incluyen bootkits, mineros, droppers, ladrones de portapapeles y más.

El último equipo de investigadores que investigó MyKings es Avast Threat Labs, que reunió 6.700 muestras únicas para analizar desde principios de 2020.

Durante el mismo período, Avast evitó activamente más de 144.000 ataques MyKings contra sus clientes, la mayoría de ellos con sede en Rusia, India y Pakistán.

Mapa de calor de víctimas
Mapa de calor de víctimas
Fuente: Avast

La botnet utiliza muchas direcciones de billetera de criptomonedas, y los saldos en algunas de ellas son bastante altos. Avast cree que la criptomoneda de estas billeteras fue acumulada por el ladrón de portapapeles y los componentes de minería de criptomonedas.

Las ganancias reflejadas en las direcciones de billetera vinculadas a MyKings son aproximadamente $ 24,7 millones. Sin embargo, dado que la botnet utiliza más de 20 criptomonedas en total, esta cantidad es solo una parte de sus ganancias financieras totales.

Ganancias relativas a tres criptomonedas
Ganancias relativas a tres criptomonedas
Fuente: Avast

Para proteger el valor de la dirección de la billetera codificada de forma rígida de la extracción y el análisis, el malware lo encripta con un simple cifrado ROT. En general, sin embargo, no se han detectado actualizaciones notables en ese frente en las muestras recientes.

Nuevos trucos de sustitución de URL

Aparte de la sustitución de la dirección de la billetera que desvía las transacciones, Avast también ha descubrió una nueva técnica de monetización utilizado por los operadores de MyKings que involucran la plataforma de juegos Steam.

Usuarios de Steam victimizados quejándose de los cambios en el enlace comercial
Usuarios de Steam victimizados quejándose de los cambios en el enlace comercial
Fuente: Avast

Las últimas versiones del malware también cuentan con un nuevo sistema de manipulación de URL en el módulo de robo del portapapeles, que los atacantes crearon para secuestrar las transacciones comerciales de artículos de Steam. El módulo cambia la URL de la oferta comercial, por lo que el actor se coloca en el extremo receptor, robando elementos valiosos del juego, etc.

Se agregó una funcionalidad similar para el servicio en la nube de almacenamiento en disco Yandex, con MyKing manipulando las URL enviadas por los usuarios a sus conocidos.

Los enlaces modificados apuntan a direcciones de almacenamiento de Yandex que contienen archivos RAR o ZIP llamados «fotos», que entregan una copia del malware MyKings a estas máquinas.

Archivo de 'fotos' falsas que distribuyen malware
Archivo de ‘fotos’ falsas que distribuyen malware
Fuente: Avast

En 2018, MyKings estaba creciendo de manera constante, con el malware llegando a 520.000 infecciones y generando millones de dólares para sus operadores.

Actualmente, parece que la red de bots ha crecido a nuevas proporciones mientras se las arregla para permanecer oculta y libre de la represión policial.

Leave a Comment

You may also like

Más