Une nouvelle variante du malware MyloBot est utilisée dans les campagnes de sextorsion. Apparemment, le logiciel malveillant déploie des charges utiles malveillantes que les pirates utilisent pour envoyer e-mails de sextorsion avec des exigences de $2,732 en crypto-monnaie.
Nouvelle version de MyloBot détectée
Les chercheurs de Minerva ont récemment découvert un 2022 version de MyloBot (détecté pour la première fois dans 2018), et a décidé d'enquêter sur l'évolution du botnet. A leur grande surprise, il s'est avéré que peu de choses ont changé en termes de capacités.
« Plusieurs techniques Anti – Debugging et Anti – VM ont disparu et d’autres techniques d’injection sont désormais mises en œuvre mais, en fin de compte, la charge utile de deuxième étage téléchargée à partir du C&Le serveur C est utilisé pour envoyer des e-mails d'extorsion,», souligne le rapport.
L'attaque elle-même est exécutée en six étapes.
La première étape repose sur les techniques de mise en place d'un filtre d'exception non géré à l'aide de "SetUnhandledExceptionFilter," et un appel à la fonction WINAPI "CreateTimerQueueTimer". Au cours de la deuxième étape, le logiciel malveillant "effectue une vérification anti-VM à l'aide de SetupDiGetClassDevs, SetupDiEnumDeviceInfo et SetupDiGetDeviceRegistryProperty pour interroger le nom convivial de tous les périphériques présents sur le système actuel et vérifier les chaînes VMWARE, VBOX, VIRTUAL HD et QEMU dans le nom.
La troisième étape ajoute de la persistance à l'attaque, considérant que le dossier utilisé lors de la quatrième étape est une copie du dossier de la première étape. Les étapes finales téléchargent la charge utile finale, au cours de laquelle cleanmgr.exe s'exécute à l'aide d'une technique anti-débogage de synchronisation supplémentaire.
Qu'en est-il de l'e-mail de sextorsion?
Le contenu de l'email de sextorsion est le suivant:
Je sais que le michigan est l'un de vos mots de passe le jour du piratage..
Allons droit au but.
Pas une seule personne ne m'a payé pour vérifier sur vous.
Vous ne me connaissez pas et vous vous demandez probablement pourquoi vous recevez cet e-mail?
en fait, j'ai en fait placé un malware sur les vidéos pour adultes (porno adulte) site web et vous savez quoi, vous avez visité ce site pour vous amuser (tu sais ce que je veux dire).
Lorsque vous regardiez des vidéos, votre navigateur a commencé à fonctionner comme un RDP avec un enregistreur de frappe qui m'a permis d'accéder à votre écran et à votre webcam.
immédiatement après ça, mon logiciel malveillant a obtenu chacun de vos contacts à partir de votre Messenger, FB, ainsi qu'un compte e-mail.
après cela, j'ai créé une vidéo en double écran. 1la première partie montre la vidéo que vous regardiez (tu as un bon gout omg), et la 2ème partie affiche l'enregistrement de votre cam, et c'est toi.
La meilleure solution serait de me payer $2732.
Nous allons parler de don. dans cette situation, je vais très certainement supprimer votre vidéo sans délai.
Mon adresse BTC : 14JuDQdSEQtFq7SkFHGJackAxneY9ixAUM
[sensible aux majuscules et minuscules, copie & collez-le] Tu pourrais continuer ta vie comme si ça n'était jamais arrivé et tu n'entendras plus jamais parler de moi.
Vous effectuerez le paiement via Bitcoin (si vous ne savez pas, rechercher 'comment acheter du bitcoin’ dans Google).
si vous envisagez d'aller à la loi, sûrement, cet e-mail ne peut pas être retracé jusqu'à moi, parce que c'est piraté aussi.
J'ai pris soin de mes actions. je ne cherche pas à te demander beaucoup, je veux juste être payé.
si je ne reçois pas le bitcoin;, J'enverrai certainement votre enregistrement vidéo à tous vos contacts, y compris vos amis et votre famille, collègues de travail, etc.
Cependant, si je suis payé, je vais détruire l'enregistrement immédiatement.
Si vous avez besoin d'une preuve, répondez avec Oui, alors j'enverrai votre enregistrement vidéo à votre 8 copains.
c'est une offre non négociable et donc s'il vous plaît ne perdez pas mon temps & vôtre en répondant à ce message.
Le logiciel malveillant a également la capacité de télécharger un fichier de charge utile supplémentaire sur le système infecté.. "Cela pourrait indiquer que l'auteur de la menace s'est laissé une porte ouverte et pourrait encore décider de transmettre des fichiers supplémentaires," ajoute le rapport.
MyloBot a été initialement publié en 2018. Cette version du logiciel malveillant a également été utilisée pour les e-mails, spécifiquement ceux équipés de techniques d'ingénierie sociale.