Botnet Mylobot desfere um golpe duplo com o malware Khalesi

O Laboratório de Pesquisas sobre Ameaças da CenturyLink identifica uma nova tática de infecção por malware distribuída globalmente

Com a habilidade de baixar outros tipos de malware após infectar um computador, o botnet Mylobot está demonstrando sua capacidade para roubar informação, de acordo com um novo relatório da CenturyLink, Inc. (NYSE: CTL). O Mylobot contém técnicas sofisticados de anti-virtual machine e anti-sandboxing para evitar a detecção e a análise, tal como se manter inativo por 14 dias antes de tentar contatar o servidor de comando e controle (C2).  No entanto, desde que foi identificado em junho de 2018, o Laboratório de Pesquisas sobre Ameaças da CenturyLink observou o Mylobot baixando Khalesi, uma família de malware disseminada para o roubo de informação, executada como uma segunda etapa de ataques nos hosts infectados.

Leia o relatório sobre Mylobot, do Laboratório de Pesquisas sobre Ameaças da CenturyLink:

https://www.netformation.com/our-pov/mylobot-continues-global-infections/.

 

“O que torna o Mylobot tão perigoso é sua capacidade de baixar e executar qualquer outro tipo de carga essencial que o atacante desejar, e agora temos evidência de que uma dessas cargas é o Khalesi”, disse Mike Benjamin, chefe do Laboratório de Pesquisas sobre Ameaças da CenturyLink.  “Ao analisar as tendências e métodos globais de ataque de botnets, a CenturyLink pode se antecipar e responder melhor às ameaças em constante evolução, tais  como o Mylobot, para defender a nossa própria rede e as de nossos clientes”.

Principais Mensagens

  • O Laboratório de Pesquisas sobre Ameaças da CenturyLink observou cerca de 18.000 IPs exclusivos se comunicando com C2s do Mylobot. 
  • Os 10 principais países que originaram os IPs infectados foram Iraque, Irã, Argentina, Rússia, Vietnã, China, Índia, Arábia Saudita, Chile e Egito.
  • A CenturyLink bloqueou a infraestrutura do Mylobot em sua rede para mitigar o risco a seus clientes e notificou os provedores de dispositivos infectados para ajuda-los a mitigar as infecções de Mylobot. 
  • Para as empresas que estão monitorando DNS, o Mylobot pode ser detectado através das até 60.000 consultas de sistemas de nome de domínio (DNS) que os hosts infectados conduzem ao tentar contatar o C2. 

Recursos Adicionais

CenturyLinkThreatReport_2018_PT.pdf

About CenturyLink

Sobre a Level 3

A Level 3 Communications, Inc. (NYSE: LVLT) é uma empresa da Fortune 500 que presta serviços de comunicação local, nacional e global a clientes empresariais, governamentais e de operadoras. O portfólio abrangente da Level 3 compreende soluções seguras e gerenciadas de fibra e infraestrutura, comunicações de voz e dados baseada em IP, serviços de Ethernet de área ampla, distribuição de vídeo e conteúdo, soluções de data center e em nuvem. A Level 3 presta serviços a clientes em mais de 500 mercados em mais de 60 países ao longo de uma plataforma global de serviços suportada por redes de fibra próprias em três continentes e conectada por amplas instalações submarinas. Para mais informações, visite www.level3.com ou conheça-nos pelo Twitter, Facebook e LinkedIn.


Sobre a CenturyLink

A CenturyLink (NYSE: CTL) é o segundo maior provedor de comunicações dos E.U.A. para
clientes corporativos globais. Com clientes em mais de 60 países e um foco intenso na experiência
do cliente, a CenturyLink se esforça para ser a melhor empresa de redes do mundo, ao resolver a
demanda crescente de clientes por conexões confiáveis e seguras. A empresa também atua como o
parceiro de confiança de seus clientes, ajudando-os a administrar complexidades crescentes de
rede e TI e fornecendo soluções gerenciadas de rede e de cibersegurança, que ajudam a proteger
seus negócios.