Accueil > Nouvelles Cyber > Un botnet Mylobot sophistiqué découvert lors d'un audit de sécurité
CYBER NOUVELLES

Sophistiqué Mylobot Botnet Découvert lors de l'audit de sécurité

Le botnet Mylobot a été découvert dans une récente attaque dans le monde entier, sur l'analyse, il a été trouvé pour contenir un moteur avancé des logiciels malveillants. Il peut exécuter plusieurs composants différents en fonction des objectifs, les pirates derrière elle sont encore inconnus.

Mylobot Botnet Mécanisme d'infection

Les attaques botnet de Mylobot ont été découverts au cours d'une évaluation de routine par une équipe cybersécurité de sécurité. L'analyse publiée révèle que le botnet comprend à la fois une méthode d'infection sophistiquée et un modèle de comportement post-infection qui sont basées sur un moteur hautement personnalisable. Les chercheurs notent que cela a produit un botnet qui est actuellement considéré comme l'un des plus sophistiqués. En même temps, il n'y a aucune information sur l'identité du pirate ou collective criminelle derrière elle.

Les rapports publiés ne donnent pas révélé le mécanisme d'infection exacte que la découverte a été faite sur les systèmes qui ont déjà été compromis. Compte tenu de la situation, il y a plusieurs points d'entrée possibles que le code malveillant aurait pu utiliser.

L'une des options est l'utilisation de Les messages infectés par courriel, en particulier ceux qui comptent sur l'ingénierie sociale techniques. Les criminels peuvent essayer de créer des messages contrefaits et les notifications qui utilisent les noms, textes et graphiques des entreprises célèbres. Ils peuvent contenir contenir attaché copies ou hyperliens placé dans le contenu du corps. Les infections peuvent également être causées par charges utiles infectées comme des copies de logiciels malveillants d'installation d'applications ou macro-documents infectés.

Le botnet peut également être téléchargé à partir sites de téléchargement de contrefaçon qui pourrait utiliser un modèle similaire et le nom de domaine aux services populaires et des portails bien connus. Ils peuvent également utiliser des scripts tels que les pop-ups, redirections, hyperliens in-line, bannières et etc.

Une infection botnet Mylobot à grande échelle peut être faite en utilisant les attaques réseau directs. Ils sont faits en ciblant les éléments vulnérables possibles qui sont chargés dans les kits de tests de pénétration automatisés. Ils peuvent être lancés contre l'ensemble du réseau en même temps.

Capacités Mylobot botnets

Le moteur de malware botnet Mylobot a été trouvé pour contenir plusieurs composants qui peuvent se protéger de la détection. Cela a empêché le logiciel de sécurité d'attraper ses signatures. Les échantillons recueillis ont montré d'inclure des mesures de protection spéciales qui protègent le virus de toutes sortes d'applications. La liste comprend les programmes antivirus, pare-feu, environnements de débogage et les hôtes de machines virtuelles. Les copies associées peuvent soit dérivation ou entièrement supprimer le logiciel de sécurité. Certains échantillons de botnet Mylobot peuvent être configurés pour se retirer si elles ne parviennent pas à effectuer ces étapes.

Une fois le principal moteur botnet Mylobot a été déployé sur les ordinateurs cibles, il commence une la récolte de données composant qui est programmé pour détourner les types de données suivants:

  • Infections virales Autres - Une part importante du moteur botnet Mylobot est qu'il est capable de détecter la présence d'autres logiciels malveillants. Il peut les supprimer ou contourner uniquement les actions qui peuvent causer un conflit avec sa propre exécution.
  • Données personnelles - Le botnet Mylobot peut utiliser un moteur complexe qui peut récolter beaucoup de données sensibles sur les victimes. Les informations révélées peuvent exposer l'identité de l'utilisateur: leur nom, adresse, numéro de téléphone, emplacement, les mots de passe, les informations d'identification de compte et etc.
  • Mesures de la campagne - Le moteur de récolte de données peut révéler un grand nombre de données sur les appareils infectés qui peuvent conduire à des optimisations de la campagne dans les attaques ultérieures. Par exemple, cela peut inclure un profil de tous les composants matériels installés et etc..

À la suite de l'exécution du module, il s'installera sur la machine cible en tant que service système. Il a été trouvé désactiver Windows Defender et Windows Update ainsi que de nombreux ports qui sont normalement contrôlés par le pare-feu intégré. L'analyse de la sécurité révèle que tous les services du système qui fonctionnent de la %DONNÉES D'APPLICATION%. Cela peut entraîner certaines fonctions d'arrêter de travailler et les utilisateurs peuvent perdre des données précieuses.

La fonction principale du botnet Mylobot est le lancement de son composant cheval de Troie. Il est un moteur avancé de son propre qui peut se connecter à un serveur contrôlé hacker et exécuter des commandes à distance, espionner les victimes et prendre le contrôle de leurs machines à un moment donné. Grâce à cette connexion sécurisée, il peut également être utilisé pour déployer des menaces supplémentaires pour les cibles.

Comme il semble cibler les ordinateurs à l'échelle mondiale, nous pensons que les attaques sont entraînées contre les grandes entreprises ou les réseaux gouvernementaux. Il est très possible que les campagnes d'attaque en cours visent à pénétrer seulement un ensemble soigneusement contrôlé des ordinateurs.

histoire connexes: HeroRat cheval de Troie utilise le protocole de télégramme pour communiquer

L'utilisation dans de futures attaques de Mylobot Botnet

Le botnet Mylobot peut être utilisé comme une solution efficace contre un large éventail de cibles. L'analyse de la sécurité qui a présenté ses capacités montre que le moteur sous-jacent contient un grand nombre de modules qui peuvent contourner plusieurs couches de sécurité - les deux contre-réseau et les installations de bureau qui sont présents sur les hôtes individuels. Le fait que les souches capturées ont été trouvées après les infections ont déjà pénétré dans les produits anti-virus montre que, au moment il n'y a pas d'informations précises sur le nombre d'infections actives dans le monde entier. Son impact peut varier d'utilisateurs individuels aux grandes entreprises et même des réseaux gouvernementaux.




Il y a plusieurs scénarios possibles d'utilisation que les pirates peuvent adhérer:

  • attaques directes - Le botnet Mylobot peut être utilisé pour cibler des cibles prédéfinies en utilisant les capacités du moteur présentées par le virus.
  • Attaque généralisée - Le botnet peut être programmé pour tenter et infecter plusieurs cibles à la fois. Il est préférable de faire en utilisant de nombreux cas qui sont définies sur un réseau prédéfini d'hôtes cibles. Les tentatives d'infection sont exécutées habituellement pour fonctionner en parallèle.
  • Livraison Payload - Le botnet est principalement utilisé pour contourner les mesures de sécurité. Cependant, au lieu d'effectuer la majeure partie des actions malveillantes en lui-même, il déploie un virus secondaire qui est responsable de l'infection.
  • versions personnalisées - échantillons Mylobot botnets sont proposés sur les marchés des pirates informatiques souterrains et personnalisés pour certaines cibles.

Dans tous les cas d'infections causées par le botnet Mylobot doivent être manipulés avec une extrême prudence, car ils peuvent être très difficiles à enlever. Nous nous attendons à d'autres mises à jour de son code qui peut les rendre encore plus difficile à détecter et à supprimer.

Martin Beltov

Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord