تسلل روبوت متقدم يسمى MyloBot إلى آلاف الأنظمة، معظمها في الهند والولايات المتحدة وإندونيسيا وإيران.
هذا وفقًا للنتائج الجديدة التي توصلت إليها BitSight، والتي تقول إنها ترى الآن أكثر من 50000 نظام مصاب فريد يوميًا، انخفاضًا من 250000 مضيف فريد في عام 2020.
بالإضافة إلى ذلك، كشف تحليل البنية التحتية لـ MyloBot عن اتصالات بخدمة بروكسي سكنية تسمى BHPrxies، مما يشير إلى أن الأخيرة كانت تستخدم أجهزة مصابة.
ظهرت MyloBot على مسرح التهديدات في عام 2017 وتم توثيقها لأول مرة بواسطة Deep Instinct في عام 2018، حيث استعرض تقنياتها المضادة للتحليل وقدرتها على العمل كمدبرة منزل.
قالت Black Lotus Labs في Lumen في نوفمبر 2018 إن ما يجعل Mylobot خطيرًا هو قدرته على تنزيل أي نوع من الحمولة وتنفيذها بعد إصابة مضيف. هذا يعني أنه يمكنهم تنزيل أي نوع آخر من البرامج الضارة التي يريدها المهاجم في أي وقت.
في العام الماضي، لوحظ أن البرنامج الضار يرسل رسائل فدية من نقاط النهاية المخترقة كجزء من حملة ذات دوافع مالية تسعى للحصول على أكثر من 2700 دولار من البيتكوين.
من المعروف أن MyloBot يستخدم تسلسلًا متعدد المراحل لفك البرامج الضارة وتشغيلها. والجدير بالذكر أنه يظل خاملاً لمدة 14 يومًا قبل محاولة الاتصال بخادم C2 لتجنب الكشف.
تتمثل الوظيفة الرئيسية لشبكة الروبوتات في إنشاء اتصالات بنطاقات C2 المشفرة مضمنة في البرامج الضارة وانتظار المزيد من الإرشادات.
قال BitSight إنه عندما يتلقى Mylobot تعليمات من C2، فإنه يحول الكمبيوتر المصاب إلى وكيل. ستكون الأجهزة المصابة قادرة على التعامل مع العديد من الاتصالات وترحيل حركة المرور المرسلة من خلال خادم القيادة والتحكم.
استخدمت التكرارات اللاحقة للبرامج الضارة أداة تنزيل، والتي بدورها متصلة بخادم C2، والذي استجاب برسالة مشفرة تحتوي على رابط لاسترداد حمولة MyloBot.
الدليل على أن MyloBot قد يكون جزءًا من شيء أكبر ينبع من البحث العكسي لـ DNS لعنوان IP المرتبط بالبنية التحتية لـ C2 botnet، والذي كشف عن ارتباط إلى مجال يسمى clients.bhproxies [.] com.
قالت شركة الأمن السيبراني ومقرها بوسطن إنها بدأت في إغراق MyloBot في نوفمبر 2018، وأنها استمرت في رؤية الروبوتات تتطور بمرور الوقت.