MyKings Botnet Hala Aktif ve Büyük Miktarlarda Para Kazanıyor

MyKings botnet (Smominru veya DarkCloud olarak da bilinir) hala aktif olarak yayılıyor ve ilk ortaya çıkmasından beş yıl sonra bile kriptoda büyük miktarlarda para kazanmaya devam ediyor

Yakın tarihte en çok analiz edilen botnetlerden biri olan MyKings, geniş altyapısı ve bootkit’ler, miner’lar, dropper’lar ve daha fazlasını içeren çok yönlü özellikleri sayesinde araştırmacılar için özellikle ilgi çekici bir yapıya sahip.

MyKings’i inceleyen en son araştırmacı ekibi ise, 2020’nin başından bu yana yapmış olduğu analiz için 6.700 benzersiz örnek toplayan Avast Threat Labs oldu.

Avast yapmış olduğu analiz sırasında çoğu Rusya, Hindistan ve Pakistan’da bulunan müşterilerine karşı MyKings’in 144.000’den fazla saldırısını aktif olarak engelledi.

Botnet kurbanlarının ısı haritası

Botnet, bakiyeleri oldukça yüksek olan birçok kripto para cüzdan adresi kullanıyor. Avast, bu cüzdanlardaki kripto para birimlerinin kripto madenciliği ve kripto hırsızlığı ile toplandığına inanıyor.

MyKings’e bağlı cüzdan adreslerine yansıtılan kazançlar ise yaklaşık 24,7 milyon dolar. Ancak botnet toplamda 20’den fazla kripto para kullandığı için bu miktar toplam finansal kazancının sadece bir kısmı.

Üç kripto para birimi cinsindeki kazançlar

Yeni URL değiştirme taktikleri

Avast, işlemleri yönlendiren cüzdan adresi değişikliğinin yanı sıra, MyKings operatörleri tarafından Steam oyun platformu üzerinde kullanılan yeni bir para kazanma tekniği de tespit etti.

Takas bağlantısı değişikliklerinden şikayet eden mağdur Steam kullanıcıları

Kötü amaçlı yazılımın en son sürümleri, saldırganların Steam eşya ticareti işlemlerini ele geçirmek için oluşturduğu pano çalma modülünde yeni bir URL işleme sistemine de sahip. Modül, takas teklifi URL’sini değiştiriyor, böylece oyuncu takas etmek istediği ürünü saldırganlara göndermiş oluyor.

Yakın zamanda benzer bir işlem Yandex Disk üzerine de eklenmiş gibi görünüyor. Botnet MyKing, Yandex Disk kullanıcıları tarafından paylaşılacak olan dosyanın URL’inin manipüle edilmesiyle, dosya saldırganlara gönderilebiliyor.

Değiştirilen bağlantılar ile dosyalar, MyKings kötü amaçlı yazılımının bir kopyasını bu makinelere gönderen “fotoğraflar” adlı RAR veya ZIP arşivlerini içeren Yandex depolama adreslerine yönlendiriliyor.

Kötü amaçlı yazılım dağıtan sahte ‘fotoğraf’ arşivi

2018’de MyKings, kötü amaçlı yazılımın 520.000 hedef kullanıcıya bulaşması ve saldırganları için milyonlarca dolar kazanmasıyla istikrarlı bir şekilde büyümeye başladı.

Bugün ise, botnet’in yeni boyutlara ulaştığı, hala gizli kalmayı ve kolluk kuvvetlerinin baskılarından uzak kalmayı başardığı görülüyor.

Kaynak: bleepingcomputer.com

Diğer Haberler

Yanlış Yapılandırma OVH’ın Çökmesine Neden Oldu Kullanıcılar Web Sayfalarına Erişemedi
Çinli Hackerlar, BT Firmalarına Saldırmak İçin Windows Sıfır Gün Açığını Kullanıyor
Microsoft Patch Thursday Yayınlandı Ortalık Karıştı Exchange Server İçin Acil Yama Vakti!

Exit mobile version