Un botnet sophistiqué connu sous le nom de MyloBot a compromis des milliers de systèmes, dont la plupart sont situés en Inde, aux États-Unis, en Indonésie et en Iran.
C’est selon les nouvelles découvertes de BitSight, qui a dit il « voit actuellement plus de 50 000 systèmes infectés uniques chaque jour », contre un sommet de 250 000 hôtes uniques en 2020.
De plus, une analyse de l’infrastructure de MyloBot a trouvé des connexions à un service de proxy résidentiel appelé BHProxies, indiquant que les machines compromises sont utilisées par ce dernier.
MyloBot, qui a émergé dans le paysage des menaces en 2017, était d’abord documenté par Deep Instinct en 2018, appelant ses techniques d’anti-analyse et sa capacité à fonctionner comme un téléchargeur.
« Ce qui rend Mylobot dangereux, c’est sa capacité à télécharger et à exécuter n’importe quel type de charge utile après avoir infecté un hôte », a déclaré Black Lotus Labs de Lumen. a dit en novembre 2018. « Cela signifie qu’à tout moment, il pourrait télécharger tout autre type de logiciel malveillant que l’attaquant souhaite. »
L’année dernière, le logiciel malveillant a été observé en train d’envoyer des e-mails d’extorsion à partir de terminaux piratés dans le cadre d’une campagne à motivation financière visant à obtenir plus de 2 700 dollars en Bitcoin.
MyloBot est connu pour utiliser une séquence en plusieurs étapes pour décompresser et lancer le malware bot. Notamment, il reste également inactif pendant 14 jours avant de tenter de contacter le serveur de commande et de contrôle (C2) pour contourner la détection.
La fonction principale du botnet est d’établir une connexion à un domaine C2 codé en dur intégré dans le logiciel malveillant et d’attendre d’autres instructions.
« Lorsque Mylobot reçoit une instruction du C2, il transforme l’ordinateur infecté en proxy », a déclaré BitSight. « La machine infectée sera capable de gérer de nombreuses connexions et de relayer le trafic envoyé via le serveur de commande et de contrôle. »
Les itérations suivantes du logiciel malveillant ont exploité un téléchargeur qui, à son tour, contacte un serveur C2, qui répond par un message crypté contenant un lien pour récupérer la charge utile MyloBot.
La preuve que MyloBot pourrait faire partie de quelque chose de plus grand provient d’une recherche DNS inversée de l’une des adresses IP associées à l’infrastructure C2 du botnet a révélé des liens avec un domaine nommé « clients.bhproxies ».[.]com. »
La société de cybersécurité basée à Boston a déclaré qu’elle avait commencé à faire disparaître MyloBot en novembre 2018 et qu’elle continuait de voir le botnet évoluer au fil du temps.
