Les experts en sécurité informatique ont signalé la découverte d'une nouvelle menace des logiciels malveillants appelé JENX Botnet qui utilise des tactiques de distribution très inhabituelles. Au lieu de s'appuyer sur des messages électroniques standard, il abuse de l'un des jeux vidéo les plus populaires - Grand Theft Auto ainsi que les appareils IoT.
JenX Botnet Discovery and Infiltration Tactics
Une nouvelle infection mondiale par les botnets a été signalée par la communauté de la sécurité. La nouvelle menace s'appelle le botnet JenX et dispose d'un mécanisme d'infiltration très inhabituel. Selon le code, l'analyse tire parti de plusieurs vulnérabilités qui affectent certains modèles de routeurs populaires fabriqués par Huawei et Realtek. Ils sont parmi les plus grands fabricants d'équipements de réseau et ces modèles sont généralement achetés par des fournisseurs de services Internet. (FAI) et remis aux clients. Cela signifie que des milliers voire des millions d'ordinateurs peuvent être victimes des tests de pénétration automatisés. Les deux vulnérabilités sont suivies dans les avis de sécurité suivants:
- CVE-2014-8361 - Le service miniigd SOAP dans Realtek SDK permet aux attaquants distants d'exécuter du code arbitraire via une requête NewInternalClient spécialement conçue.
- CVE-2017-17215 - Vulnérabilité d'exécution de code à distance dans Huawei HG532 CVE-2017-17215.
Il est intéressant de noter que les deux faiblesses sont tirées de la botnet Satori. Les extraits ont été identifiés dans des messages publics rédigés par le pirate informatique connu sous le pseudonyme “Janit0r” qui est l'auteur de BrickerBot. Selon la recherche, le botnet est conçu spécifiquement contre les fournisseurs de jeux, clubs et joueurs.
Le code malveillant s'infiltre dans les serveurs qui alimentent les jeux et infecte ainsi les machines clientes.. Le lien fait avec le jeu Grand Theft Auto est dû au fait que des serveurs compromis hébergeant le botnet JenX hébergent le jeu. De telles tactiques sont particulièrement efficaces contre les cibles car les serveurs de jeux sont connus pour leurs performances et leur connectivité réseau..
Il s'agit d'une mise à niveau de suivi des botnets de base comme Mirai. Leur stratégie d'intrusion consistait à s'appuyer sur des informations d'identification par défaut qui sont sondées pour l'accès. Une fois que le logiciel malveillant a compromis l'appareil cible, il peut modifier les informations d'identification du compte et refuser l'accès aux propriétaires.. Les botnets de deuxième génération comme Satori dépendent des vulnérabilités du micrologiciel et, par conséquent, ils sont beaucoup plus efficaces contre des cibles potentielles.. La plupart des appareils IoT ne reçoivent jamais de mises à jour de sécurité critiques en raison d'un manque de support logiciel ou de la négligence du propriétaire. Les exploits peuvent être facilement déclenchés à l'aide de plates-formes automatisées, ce qui permet même aux utilisateurs débutants de les utiliser facilement dans leurs schémas d'attaque..
Le botnet JenX et la connexion aux serveurs de jeux
L'une des raisons avancées pour lesquelles le malware cible les serveurs de jeux est le fait qu'ils sont fréquemment loués pour des groupes entiers ou utilisés dans des tournois.. Une fois que le code malveillant a infecté le serveur lui-même, il peut être utilisé pour propager des virus aux clients connectés via les jeux vidéo eux-mêmes.. Habituellement, ils intègrent en eux-mêmes des options de chat qui peuvent être abusées.
En utilisant des tactiques d'ingénierie sociale, les criminels peuvent choisir de diffuser des logiciels malveillants supplémentaires via des liens publiés dans le logiciel de discussion.. Ils peuvent être déguisés en messages de service tels que des liens de réinitialisation de mot de passe, notifications et etc.
Dans d'autres cas, les victimes peuvent être redirigées vers des sites malveillants qui incluent des éléments de phishing. Au lieu de fournir des fichiers exécutables, les criminels tentent de confondre les utilisateurs en saisissant les informations d'identification de leur compte sur des sites imposteurs.. Les criminels prennent généralement les éléments graphiques et textuels des services Web et des réseaux sociaux qui comptent parmi les sites les plus visités.. Ces dernières années, ce type d'escroquerie est devenu si avancé qu'il est parfois difficile de distinguer le faux du service légitime.. Les criminels n'imposent pas seulement presque la même identité visuelle, mais aussi signer les certificats de sécurité et établir une connexion sécurisée avec des identifiants qui ressemblent de manière frappante aux vrais.
Capacités d'infection du botnet JenX
Les chercheurs notent que le botnet est particulièrement dangereux car il intègre un Module de protection furtif qui vise à masquer la menace des logiciels de sécurité et de l'analyse. Ces techniques sont également regroupées dans des exemples de ransomware avancés où le moteur d'infection recherche n'importe quel environnement de bac à sable ou de débogage., machines virtuelles et des produits anti-virus. Ils peuvent être désactivés ou supprimés. Les virus peuvent également être invités à se supprimer s'ils ne parviennent pas à contourner la protection de sécurité. De telles étapes peuvent également être intégrées dans le botnet JenX via des commandes de script. Les pirates ont été trouvés pour distribuer des copies du JenX compatibles avec MIPS, ARM et X86 qui sont les plateformes les plus populaires.
Les opérateurs de hackers cherchent à infiltrer silencieusement les serveurs commerciaux et privés. Il est intéressant de noter que le soutien d'un large public semble être un facteur important à considérer. La communauté criminelle derrière les attaques semble utiliser un serveur centralisé qui agit comme la principale plate-forme de malware. Les experts chargent les vulnérabilités ainsi que d'autres scripts personnalisés pour exécuter les étapes de suivi des infections.
Les sites infiltrés offrent l'accès à un serveur moddé de Grand Theft Auto San Andreas pour le prix de $16, Les serveurs TeamSpeak sont vendus pour $9. Si les pirates paient $20 plus ils peuvent utiliser les serveurs compromis pour des attaques DDOS contrôlées contre des cibles uniques. Les rapports indiquent que le réseau de pointe complet peut être 290 ou 300 Gbps. Pour le moment, l'impact causé par le botnet JenX est lié à une perturbation mineure parmi les joueurs locaux. Il peut être utilisé pour saboter les tournois Grand Theft Auto et le jeu en groupe.
Les experts notent que si les serveurs centralisés peuvent être arrêtés, toute la plate-forme peut échouer. Il est présumé que la menace peut être mise à jour dans les versions futures pour utiliser une approche décentralisée. Il a été découvert que les infections récentes présentent une approche P2P qui est plus difficile à atténuer.
Nous recommandons à tous les utilisateurs d'analyser leurs systèmes à la recherche d'infections actives et de se protéger des menaces entrantes en utilisant une solution anti-spyware de qualité..
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter