La sofisticada red de bots MyloBot ya ha infectado miles de sistemas en todo el mundo y cada día lo hace con 50.000 nuevos dispositivos.
MyloBot, surgió en el panorama de amenazas en 2017, aunque no se documentó por primera vez hasta 2018. En aquel momento, Deep Instinct ya destacó sus técnicas antianálisis y su capacidad para funcionar como descargador.
En ese momento, desde Lumen apuntaron que la peligrosidad de MyloBot radicaba en su capacidad para descargar y ejecutar cualquier tipo de carga útil después de infectar un host. Esto implica que, en cualquier momento, podía descargar cualquier tipo de malware que deseara el atacante.
En 2022 se detectó que enviaba correos electrónicos de extorsión desde endpoints hackeados como parte de una campaña con fines económicos que buscaba conseguir más de 2.700 dólares en bitcoins.
Los hallazgos más recientes de BitSight apuntan a más de 50.000 sistemas infectados todos los días, si bien la mayoría se ubican en India, Estados Unidos, Indonesia e Irán.
Además, un análisis de la infraestructura de MyloBot encontró conexiones a un servicio de proxy residencial llamado BHProxies, lo que indica que está utilizando las máquinas comprometidas.
Qué se sabe de MyloBot
Hasta ahora, lo que se sabe de MyloBot es que emplea una secuencia de varias etapas para desempaquetar y ejecutar el malware. Este permanece inactivo durante 14 días antes de intentar comunicarse con el servidor de comando y control (C2) para eludir su detección.
Como apuntan desde BitSight, «cuando Mylobot recibe una instrucción del C2, transforma el equipo infectado en un proxy, y desde ella podrá gestionar conexiones y retransmitir el tráfico enviado a través del servidor de comando y control».
Las iteraciones posteriores del malware aprovecharon un programa de descarga que, a su vez, contacta con un servidor C2, que responde con un mensaje cifrado con un enlace para recuperar la carga útil de MyloBot.
Los expertos sospechan que MyloBot podría ser parte de algo más grande. Y es que una búsqueda de DNS inversa de una de las direcciones IP asociadas con la infraestructura C2 de la botnet reveló vínculos con un dominio llamado «clients.bhproxies[.]com».
Sin duda, esto confirmaría que esta botnet, lejos de desaparecer, a lo largo de estos años ha ido evolucionando hasta convertirse en una seria amenaza a la que permanecer muy atentos.