La botnet MyKings todavía está activa y está ganando enormes cantidades de dinero

La botnet MyKings (también conocida como Smominru o DarkCloud) todavía se está expandiendo activamente, ganando enormes cantidades de dinero en criptomonedas, cinco años después de su primera aparición en la naturaleza.

Como una de las redes de bots más investigadas en la historia reciente, MyKings es particularmente atractiva para los investigadores debido a su vasta infraestructura y características versátiles, que incluyen bootkits, mineros, droppers, ladrones de portapapeles y más.

El último equipo de investigadores que examinó MyKings es Avast Threat Labs, que ha recopilado 6.700 muestras únicas para su análisis desde principios de 2020.

Durante el mismo período, Avast evitó activamente más de 144.000 ataques de MyKings contra sus clientes, la mayoría de ellos con sede en Rusia, India y Pakistán.

Mapa de calor de las víctimas
Mapa de calor de las víctimas
Fuente: Avast

La botnet utiliza muchas direcciones de billetera de criptomonedas, con saldos bastante altos en algunas de ellas. Avast cree que la criptomoneda en estas billeteras ha sido acumulada por el ladrón del portapapeles y los componentes de minería de criptomonedas.

Las ganancias reflejadas en las direcciones de billetera vinculadas a MyKings son aproximadamente $ 24.7 millones. Sin embargo, como la botnet utiliza más de 20 criptomonedas en total, esta cantidad es solo una fracción de sus ganancias financieras totales.

Ganancias relacionadas con tres criptomonedas
Ganancias relacionadas con tres criptomonedas
Fuente: Avast

Para proteger el valor de la dirección de billetera encriptada de la extracción y el análisis, el malware lo encripta con un simple cifrado ROT. En general, sin embargo, no se han identificado actualizaciones dignas de mención en ese frente en muestras recientes.

Nuevos trucos para el reemplazo de URL

Además de reemplazar la dirección de la billetera que desvía las transacciones, Avast también ha identificado una nueva técnica de monetización utilizada por los operadores de MyKings que involucra la plataforma de juegos Steam.

Usuarios de Steam victimizados quejándose de cambios en los enlaces comerciales
Usuarios de Steam victimizados quejándose de cambios en los enlaces comerciales
Fuente: Avast

Las últimas versiones del malware también cuentan con un nuevo sistema de manipulación de URL en el módulo de ladrón del portapapeles, creado por atacantes para secuestrar las transacciones comerciales de artículos de Steam. El módulo cambia la URL de la oferta comercial, por lo que el actor se coloca en el extremo receptor, robando elementos valiosos del juego, etc.

Se han agregado características similares para el servicio en la nube de almacenamiento en disco Yandex, con MyKing manipulando las URL enviadas por los usuarios a sus conocidos.

Los enlaces modificados apuntan a direcciones de almacenamiento de Yandex que contienen archivos RAR o ZIP llamados "fotos", que proporcionan una copia del malware MyKings a estas máquinas.

Archivo de
Archivo de "fotos" falso que contiene software malicioso
Fuente: Avast

En 2018, MyKings creció de manera constante, con el malware llegando a 520.000 infecciones y ganando millones de dólares para sus operadores.

Hoy parece que la botnet ha crecido a nuevas proporciones, mientras se las arregla para permanecer oculta y libre de la represión policial.

¿Qué te ha parecido?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir