MyloBot envoie des courriers électroniques pour rançonner ses victimes

Le logiciel MyloBot est un malware botnet contenant des logiciels malveillants pouvant être à l’origine d’une variété d’activités malveillantes. Récemment, une autre version de ce malware a été découverte. Elle contient une puissante charge utile permettant d’envoyer des e-mails d’extorsion et demande aux victimes le paiement de 2 732 $ en monnaie numérique (bitcoins).

MyloBot, qui a été découvert initialement en 2018, dispose de capacités antiblocages avancées et de méthodes de distribution sophistiquées. Ces caractéristiques lui permettent d’insérer des ordinateurs infectés dans le botnet. En outre, il supprime les traces d’autres logiciels malveillants concurrents des systèmes informatiques.

Par ailleurs, cette découverte a été faite par Minerva Labs. D’après les données recueillies, le logiciel combinerait plusieurs techniques d’infection et de furtivité en un seul et puissant package.

Un mode de fonctionnement surprenant

Le malware MyloBot utilise une technique, appelée process hollowing, dans laquelle le code d’attaque est inséré dans le processus compromis. Une fois inséré, ce code nettoie le processus et contourne la protection basée sur ce dernier. Ainsi, la mémoire attribuée au processus actif est libérée et remplacée par ce code exécutable.

De plus, pour éviter d’être détecté, le logiciel peut retarder l’accès aux serveurs de contrôle et de commande jusqu’à 14 jours. Il peut également exécuter de binaires malveillants directement depuis la mémoire.

Le code utilise ensuite l’ordinateur infecté comme intermédiaire pour communiquer avec un serveur distant. En outre, tout code en mémoire télécharge et exécute la charge utile, qui est ensuite décryptée pour réaliser l’étape finale du malware.

Quelques attaques enclenchées par le logiciel

D’après les études, ce logiciel aurait pour objectif d’envoyer des messages ransomwares via des points d’accès qui fournissent des informations sur les activités en ligne du destinataire. Si le logiciel malveillant possède des informations sur les sites du destinateur ou accède à sa webcam, il menace de publier les vidéos téléchargées ou informations par ce dernier.

L’analyse de Minerva Labs a également montré que le malware était capable de télécharger des fichiers supplémentaires. Cela suggère que les acteurs à l’origine de la menace ont laissé la porte ouverte à de nouvelles attaques.

« Cet acteur de la menace s’est donné beaucoup de mal pour déposer le malware et le garder non détecté, pour ensuite l’utiliser comme un expéditeur de courrier d’extorsion […]Les botnets sont dangereux exactement à cause de cette menace inconnue à venir. Il pourrait tout aussi bien déposer et exécuter des ransomwares, des logiciels espions, des vers ou d’autres menaces sur tous les points finaux infectés. »

Natalie Zargarova, chercheuse à Minerva Labs

SOURCE : THEHACKERNEWS