Die MyloBot-Malware ist ein sogenanntes Botnet. Dabei handelt es sich um eine Gruppe automatisierter Botprogramme, die Windows-Systeme infiltrieren. Erstmalig im Einsatz war MyloBot im Jahr 2017. Im darauffolgenden Jahr haben Sicherheitsforschende sie erstmalig als „hoch entwickeltes, nie zuvor gesehenes Botnet“ beschrieben. Aktuell scheint sie wieder besonders aktiv.
Das macht das Botnet mit Windows-PCs
Die Windows-Malware greift laut der Sicherheitsforschenden von Deep Instinct gleich auf mehreren Ebenen an. Mit ihren diversen Attacken ist sie so in der Lage einen ganzen PC oder ein zusammengeschlossenes System zu infiltrieren und zu übernehmen. Zu ihren Angriffen zählen:
- Code-Injektion: Der Code bestimmter Programme wird so manipuliert, dass andere Eingaben als von dir gewollt, getätigt werden.
- Anti-Sandbox Techniken: Die Sandbox beim Windows-PC umfasst in der Regel geschützte Bereiche deines Rechners. Dringt man in diesen ein, lässt sich viel Unfug anstellen.
- Angriff Virtueller Maschinen: Virtuelle Maschinen, auch VMs genannt, sind wie ein PC in deinem PC. Auch hier liegen sensible Systemdaten, auf die keiner Zugriff haben sollte.
„Die Tatsache, dass alles im Arbeitsspeicher stattfindet […], macht es noch schwieriger, es zu erkennen und zu verfolgen.“, fassen die Expert*innen daher zusammen.
Neue Angriffswelle auf etliche Rechner
Wie nun Security Affairs berichtet, ist man seit 2018 effektiv gegen die MyloBot-Malware vorgegangen. Unter anderem haben Forschende von BitSight dafür sorgen können, dass fast jeder einzelne Bot gezielt zurückverfolgt werden konnte. Doch der Sieg dauert nicht an.
Nach einer Weiterentwicklung des Botnets fehlten die fest codierten DGA-Domänen, die die virtuelle Jagd der Sicherheitsexpert*innen ermöglichten. Dadurch ließ sich ebenfalls nicht nachverfolgen wie aktiv die Malware nach wie vor Windows-PCs angreift.
Das Unternehmen BitSight hat sich daher einen Umweg einfallen lassen und muss nun eine ausdrückliche Warnung melden: „Wir sehen derzeit jeden Tag mehr als 50.000 einzelne infizierte Systeme, aber wir glauben, dass wir nur einen Teil des gesamten Botnetzes sehen, was zu mehr als 150.000 infizierten Computern führen kann, wie von den Betreibern von BBHroxyes angekündigt.“
Zudem fügen sie hinzu, dass die aktuelle Angriffswelle vor allen Windows-PCs in den USA, Indien, Indonesien und den Iran trifft.
Quellen: Deep Instinct, BitSight, Security Affairs
Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.