NUEVA CAMPAÑA DE LA BOTNET MYLOBOT
NUEVA CAMPAÑA DE LA BOTNET MYLOBOT
| 21/02/2023 | BOLETÍN NRO 2023-113 |
Recientemente se ha detectado que la botnet MyloBot ha infectado a más de 50000 dispositivos diariamente, estando la mayoría localizados en Estados Unidos, India, Indonesia e Irán.
Servicios Afectados
• Sistemas operativos Windows
Detalles Tecnicos
|
Esta botnet no tuvo mucha atención desde su primera aparición en 2017, sin embargo, debido a unos cambios en su etapa de “downloader” ha podido ganar mayor propagación en distintos dispositivos. Cabe resaltar que este malware es denominado como un “proxy bot”, es decir su funcionalidad principal es de convertir dispositivos infectados en proxys.
MyloBot es conocido por emplear una secuencia multi etapa, la cual le permite desempaquetar y desplegarse de manera cuidadosa, ya que luego de 14 días de infectado el dispositivo recién realiza una conexión con el servidor de C&C para evitar detecciones al ejecutarse inicialmente.
El “dropper” de esta nueva versión realiza un análisis anti-máquinas virtuales e intenta remover cualquier otro tipo de malware que se encuentre en el sistema, posteriormente se conecta con el servidor de C&C y descarga archivos para las siguientes etapas de la infección. Los dominos de comando y control están encriptados con AES-ECB utilizando una clave para poder ser desencriptados y saber a cuáles servidores deberá conectarse dependiendo del sample.
Se encontró que uno de estos servidores pertenecía a una compañía que ofrece servicios de proxy residenciales, estos son proxys que otorgan una IP por un ISP local. Sin embargo, resulta complicado atribuir que esta compañía tenga relación directa con la campaña de MyloBot, ya que solo se sabe que esta botnet utiliza sus servicios por las IPs a las cuales se conecta.
Indicadores de Compromiso
Para acceder a la lista completa de IOC hacer click aquí.
Recomendaciones
Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:
Para el personal de seguridad de información:
• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.
• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.
• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.
• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.
• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.
** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.
Para usuarios finales:
• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.
• Escanear todo el software descargado de Internet antes de la ejecución.
• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.
Fuente
- Fuente 1: MyloBot Botnet Spreading Rapidly Worldwide: Infecting Over 50,000 Devices Daily
- Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft
Contáctanos
Si usted tiene alguna consulta no dude en contactarse con nosotros:
Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com
Consultas comerciales: ventas@securesoftcorp.com
Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com
Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com
Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com
Publicador de contenidos
Reporte
126 Reporte Quincenal de Ciberinteligencia 2025
Reporte
125 Reporte Quincenal de Ciberinteligencia 2025
Reporte