Područje cyber sigurnosti je konstantno ratovanje “hakera” protiv nas ostalih. Sigurnosni stručnjaci su otkrili da se dnevno pojavi oko 23.000 novih malwarea, odnosno 795 po satu. Ne, niste krivo pročitali. Olakotna okolnost je što su to sve varijacije postojećih malwarea samo s drugim potpisom kako bi ih anti-malware aplikacije teže detektirale. No, s vremena na vrijeme (op.a. svakih par mjeseci) se ipak pojave neki novi malwarei koji globalno ugroze sigurnost računala, a jedan od njih je i novi, sofisticirani malware imena “Mylobot”.
Što je Mylobot?
Mylobot je zapravo botnet malware koji sa sobom nosi hrpu toga lošega, odnosno pokušat će vam naštetiti na više od jednog načina. Ovaj malware je prvi uočio sigurnosni stručnjak Tom Nipravsky koji je rekao da do sada nije vidio ništa sličnoga “u divljini”. Mylobot kombinira nekoliko tehnika i sofisticiranih napada na vaše računalo kao što su:
– Anti-virtual machine tehnika: Malware prvo provjerava da li je okolina u kojoj se nalazi virtualna mašina ili “pravo” računalo. Ako je virtualna mašina, uopće se ne pokreće.
– Anti-sandbox tehnika: Isto kao i maloprije opisana tehnika
– Anti-debugging tehnika: Može mijenjati svoje ponašanje prilikom debuggiranja te je uspio nekoliko puta zavarati sigurnosne stručnjake dok su ispitivali što ovaj malware radi.
– Kriptiranje: Jezgra malwarea je kriptirana i teško je uopće doći do izvornog koda da bi se saznalo što malware zapravo radi i kako se ponaša
– Code injection tehnika: Mylobot pokreće svoj custom programski kod kako bi dobio pristupe određenim resursima i narušio način na koji procesi obično rade.
– Reflective EXE: Pokreće se uglavnom iz memorije, ne s diska.
– Delay mehanizam: Kada se nađe na računalu, 14 dana miruje prije nego krene “djelovati”
– … i tako dalje
Mylobot, kao što vidite, jako puno ulaže u to da ga se ne može naći i ima jako puno tehnika s kojom zavarava sustav na kojem se nalazi. Prve tri tehnike koje koristi su tehnike kako bi se “sakrio” od anti-malware softvera koji skenira OS i kako bi zavarao sigurnosne stručnjake o svom ponašanju.
Mylobot “ubija” druge malwaree na računalu
Jedna od zanimljivih i jako rijetkih funkcija ovog malwarea je što traži druge malwaree na računalu i pokušava ih uništiti, odnosno obrisati s računala. Zašto to radi? Jer bi drugi malwarei mogli postati uočljivi anti-malware softverima i onda će korisnik možda krenuti čistiti računalo. S druge strane, ako Mylobot uništi druge malwaree, a sam se uspije sakriti od korisnika, vi postajete dio Mylobot botnet mreže i mogu vaše računalo koristiti za svoje potrebe.
Odnosno oni koji stoje iza botnet mreže će prodavati svoju uslugu drugim osobama na dark webu. Bez vašeg znanja će koristiti vaše računalo, npr., za generiranje prometa na nekoj web stranici, a pri tome će zarađivati dnevno stotine dolara, ako ne i tisuće dolara. Ne zaboravite da neke botnet mreže možete unajmiti već za 10-15 dolara po “napadu”. Neke malo veće botnet mreže za 100-300 dolara.
Što točno Mylobot još može napraviti?
Mylobotova glavna funkcija je dati kontrolu nad vašim računalom napadaču – tko god on bio. Iz daljine, napadač može koristiti vaše računalo za napade na druga računala, dobiti vaše osjetljive informacije s računala, pristupiti sistemskim datotekama i još mnogo toga.
Ovakav malware, posebice u poslovnoj okolini, može napraviti jako puno štete. Posebice ako uzmete u obzir da je povezan i s drugim botnet mrežama kao što su DorkBot, Tamdo i Locky. Naravno, opasan je i za “obične” korisnike jer ako nešto plaćate online, može dobiti vaše podatke koje šaljete prema određenom paygateu za plaćanje.
Kako se zaštititi od Mylobota?
Eh, tu imamo jednu tužnu vijest. Mylobot, barem prema riječima stručnjaka, živi od 2015. godine. Uspio je pobjeći svim alatima i sigurnosnim stručnjacima, a trenutačni komercijalni alati ga ne mogu detektirati. Barem zasad, što ne znači da ne budu mogli kroz narednih par mjeseci.
Pošto ga se tek sada detaljno istražuje, moguće je da će se otkriti njegov potpis i da će biti zaustavljen, ali do tada se samo možete nadati da ćete ga obrisati ili da ga nećete “pokupiti” na Internetu. Svakako i dalje imajte na računalu dobar AV i anti-malware softver, te ih redovno ažurirajte.
Piše: B.P.
