La cybersécurité est un champ de bataille constant. En 2017, les chercheurs en sécurité ont découvert quelque 23 000 nouveaux spécimens de logiciels malveillants par jour (soit 795 par heure).
Bien que ce titre soit choquant, il s’avère que la majorité de ces spécimens sont des variantes du même type de malware. Ils ont juste un code légèrement différent qui crée chacun une “nouvelle” signature.
De temps en temps, cependant, une nouvelle souche de malware fait irruption sur la scène. Mylobot en est un exemple : il est nouveau, hautement sophistiqué et prend de l’ampleur.
Qu’est-ce que Mylobot ?
Mylobot est un malware de botnet qui contient une quantité importante d’intentions malveillantes. Le nouveau malware a été repéré pour la première fois par Tom Nipravsky, chercheur en sécurité pour Deep Instinct, qui a déclaré que “la combinaison et la complexité de ces techniques n’avaient jamais été vues dans la nature auparavant”.
Ce malware combine en effet un large éventail de techniques sophistiquées d’infection et d’obscurcissement dans un package puissant. Regarde:
- Techniques anti-machine virtuelle (VM) : Le malware recherche dans son environnement local les signes d’une machine virtuelle et, s’il est détecté, ne parvient pas à s’exécuter.
- Techniques anti-bac à sable : Très similaire aux techniques anti-VM.
- Techniques anti-débogage : Empêche un chercheur en sécurité de travailler efficacement sur un échantillon de malware, en modifiant le comportement en présence de certains programmes de débogage.
- Envelopper les pièces internes avec un fichier de ressources crypté : Essentiellement, protéger davantage le code interne du malware avec un cryptage.
- Code injection techniques: Mylobot exécute un code personnalisé pour attaquer le système, injectant son code personnalisé dans les processus système pour accéder et perturber le fonctionnement normal.
- Processus de creusement : Un attaquant crée un nouveau processus dans un état suspendu, puis remplace celui qui est censé être caché.
- EXE réfléchissant : Le fichier EXE s’exécute à partir de la mémoire plutôt que du disque.
- Mécanisme de retard : Le malware reste en sommeil pendant 14 jours avant de se connecter aux serveurs de commande et de contrôle.
Mylobot fait beaucoup d’efforts pour rester caché.
Les techniques anti-sandboxing, anti-débogage et anti-VM tentent d’arrêter l’apparition des logiciels malveillants dans les analyses anti-programmes malveillants, ainsi que d’empêcher les chercheurs d’isoler le logiciel malveillant sur une machine virtuelle ou un environnement sandbox à des fins d’analyse.
L’exécutable réfléchissant rend Mylobot encore plus indétectable car il n’y a pas d’activité de disque directe à analyser pour votre suite antivirus ou antimalware.
Manœuvres d’évasion de Mylobot
D’après ce que Nipravsky a dit à Threatpost :
“La structure du code lui-même est très complexe — c’est un malware multithread où chaque thread est chargé de mettre en œuvre différentes capacités du malware.”
Et:
“Le malware contient trois couches de fichiers, imbriquées les unes dans les autres, où chaque couche est chargée d’exécuter la suivante. La dernière couche utilise [the Reflective EXE] technique.”
En plus des techniques d’anti-analyse et d’anti-détection, Mylobot peut attendre jusqu’à 14 jours avant de tenter d’établir des communications avec ses serveurs de commande et de contrôle.
Lorsque Mylobot établit une connexion, le botnet arrête Windows Defender et Windows Update, ainsi que la fermeture d’un certain nombre de ports du pare-feu Windows.
Mylobot cherche et tue d’autres types de logiciels malveillants
L’une des fonctions les plus intéressantes — et les plus rares — du malware Mylobot est sa fonction de recherche et de destruction.
Contrairement à d’autres logiciels malveillants, Mylobot est prêt à éradiquer d’autres types de logiciels malveillants déjà présents sur le système cible. Mylobot analyse les dossiers de données d’application du système à la recherche de fichiers et de dossiers de logiciels malveillants courants, et s’il trouve un certain fichier ou processus, Mylobot y met fin.
Nipravsky pense qu’il y a plusieurs raisons à cette activité malveillante rare et hyper-agressive. L’essor des ransomwares en tant que service et d’autres variantes de logiciels malveillants payants a considérablement abaissé la barrière pour devenir un cybercriminel. Certains ransomwares et kits d’exploitation complets sont disponibles gratuitement dans le cadre de programmes d’affiliation (en particulier, le ransomware Saturn).
De plus, le prix de location d’un puissant botnet peut chuter extrêmement bas avec une commande suffisamment importante, tandis que d’autres ont annoncé des tarifs journaliers pour seulement des dizaines de dollars.
La facilité d’accès empiète sur les activités de cybercriminalité établies.
« Les attaquants se font concurrence pour avoir le plus d'”ordinateurs zombies” possible afin d’augmenter leur valeur lorsqu’ils proposent des services à d’autres attaquants, notamment lorsqu’il s’agit de déployer des infrastructures.»
En conséquence, il y a une sorte d’escalade spectaculaire des fonctionnalités des logiciels malveillants pour se propager davantage, durer plus longtemps et récolter des récompenses plus rentables.
Que fait Mylobot, exactement ?
La principale fonctionnalité de Mylobot est d’exposer le contrôle du système à l’attaquant. À partir de là, l’attaquant a accès aux informations d’identification en ligne, aux fichiers système et bien plus encore.
Le vrai dommage est finalement la décision de celui qui attaque le système. Les logiciels malveillants dotés des capacités de Mylobot peuvent facilement causer des dommages considérables, en particulier lorsqu’ils se trouvent dans l’environnement de l’entreprise.
Mylobot a également des liens vers d’autres botnets, notamment DorkBot, Ramdo et le tristement célèbre réseau Locky. Si Mylobot agit comme un conduit pour d’autres botnets et types de logiciels malveillants, toute personne qui tombe sous le coup de ce logiciel malveillant va passer un très mauvais moment :
« Le fait que le botnet se comporte comme une porte pour des charges utiles supplémentaires expose également l’entreprise à un risque de fuite de données sensibles, suite au risque d’installations d’enregistreurs de frappe / chevaux de Troie bancaires. »
Comment rester en sécurité contre Mylobot ?
Eh bien, voici la mauvaise nouvelle : on pense que Mylobot infecte activement les systèmes depuis plus de deux ans à ce stade. Ses serveurs de commande et de contrôle ont été utilisés pour la première fois en novembre 2015.
Ainsi, Mylobot semble avoir esquivé tous les autres chercheurs et entreprises en sécurité pendant un certain temps avant de se heurter aux outils de cyber-recherche d’apprentissage en profondeur de Deep Instinct.
Malheureusement, vos outils antivirus et antimalware habituels ne vont pas prendre quelque chose comme Mylobot — pour le moment, du moins.
Maintenant qu’il existe un échantillon de Mylobot, davantage d’entreprises de sécurité et de chercheurs peuvent utiliser la signature. À leur tour, ils garderont un œil beaucoup plus étroit sur Mylobot.
En attendant, vous devez consulter notre liste des meilleurs outils antivirus informatiques et de sécurité ! Bien que votre antivirus ou antimalware habituel puisse ne pas s’activer sur Mylobot, il existe énormément d’autres logiciels malveillants. ça va définitivement s’arrêter.
Cependant, s’il est trop tard pour vous et que vous vous inquiétez déjà d’une infection, consultez notre guide complet sur la suppression des logiciels malveillants. Cela vous aidera, vous et votre système, à surmonter la grande majorité des logiciels malveillants et à commencer à prendre des mesures pour empêcher que cela ne se reproduise.