Mylobot ahora infecta con el malware Khalesi

19 Noviembre 2018
Crítico

Investigadores de CenturyLink -que descubrieron en junio pasado la peligrosa botnet Mylobot-, ahora identificaron que ésta usa una nueva táctica de infección: una vez que accede a los host, descarga y ejecuta Khalesi, una familia de malware generalizado que roba información y que se ejecuta como ataque de segunda etapa en los hosts infectados.

Mylobot tiene sofisticadas técnicas de anti-virtual machine y anti-sandboxing para evitar ser detectada y analizada, como por ejemplo permanecer inactiva durante 14 días, antes de intentar conectarse con el servidor de comando y control (C2). Cuando intenta conectar con el C2, el malware usa un conjunto de 1.404 nombres de dominio y pares de puertos codificados.

CenturyLinks destacó que Mylobot tiene la capacidad de descargar y ejecutar cualquier tipo de carga útil que el atacante quiera; que hay aproximadamente 18.000 IP únicas comunicándose con los C2 de Mylobot; y que los 10 principales países donde se originaron las IP infectadas fueron Irak, Irán, Argentina, Rusia, Vietnam, China, India, Arabia Saudita, Chile y Egipto


Tags: #mylobot #botnet #khalesi #malware #windows

Contacto

¡Cuenta con nosotros!
inteligencia@cci-entel.cl


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.