La cybersécurité est un champ de bataille permanent. En 2017, les chercheurs en sécurité ont découvert quelque 23 000 nouveaux spécimens de logiciels malveillants par jour (soit 795 par heure).
Bien que ce titre soit choquant, il s'avère que la majorité de ces spécimens sont des variantes du même type de logiciel malveillant. Ils ont juste un code légèrement différent qui crée chacun une "nouvelle" signature.
De temps en temps, cependant, une véritable nouvelle souche de logiciels malveillants fait irruption sur la scène. Mylobot en est un exemple :il est nouveau, hautement sophistiqué et prend de l'ampleur.
Mylobot est un malware botnet qui contient une quantité importante d'intentions malveillantes. Le nouveau logiciel malveillant a été repéré pour la première fois par Tom Nipravsky, chercheur en sécurité pour Deep Instinct, qui a déclaré que "la combinaison et la complexité de ces techniques n'avaient jamais été vues dans la nature auparavant".
Ce logiciel malveillant combine en effet un large éventail de techniques d'infection et d'obscurcissement sophistiquées dans un package puissant. Jetez un œil :
Mylobot met beaucoup d'efforts pour rester caché.
Les techniques anti-sandboxing, anti-debugging et anti-VM tentent d'empêcher l'apparition des logiciels malveillants dans les analyses antimalware, ainsi que d'empêcher les chercheurs d'isoler les logiciels malveillants sur une machine virtuelle ou un environnement en bac à sable à des fins d'analyse.
L'exécutable réfléchissant rend Mylobot encore plus indétectable car il n'y a pas d'activité directe sur le disque à analyser par votre suite antivirus ou antimalware.
D'après ce que Nipravsky a dit à Threatpost :
"La structure du code lui-même est très complexe --- c'est un malware multi-thread où chaque thread est chargé de mettre en œuvre différentes capacités du malware."
Et :
"Le logiciel malveillant contient trois couches de fichiers, imbriquées les unes sur les autres, où chaque couche est chargée d'exécuter la suivante. La dernière couche utilise la technique [reflective EXE]."
En plus des techniques d'anti-analyse et d'anti-détection, Mylobot peut attendre jusqu'à 14 jours avant de tenter d'établir des communications avec ses serveurs de commande et de contrôle.
Lorsque Mylobot établit une connexion, le botnet arrête Windows Defender et Windows Update, ainsi qu'un certain nombre de ports du pare-feu Windows.
L'une des fonctions les plus intéressantes --- et les plus rares --- du malware Mylobot est sa fonction de recherche et de destruction.
Contrairement à d'autres logiciels malveillants, Mylobot est prêt à éradiquer d'autres types de logiciels malveillants déjà présents sur le système cible. Mylobot analyse les dossiers de données d'application du système à la recherche de fichiers et de dossiers de logiciels malveillants courants, et s'il trouve un certain fichier ou processus, Mylobot le termine.
Nipravsky pense qu'il y a plusieurs raisons à cette activité malveillante rare et hyper-agressive. La montée en puissance des ransomwares en tant que service et d'autres variantes de logiciels malveillants payants a considérablement réduit la barrière pour devenir un cybercriminel. Certains ransomwares et kits d'exploitation complets sont disponibles gratuitement dans le cadre de programmes d'affiliation (en particulier, le ransomware Saturn).
De plus, le prix de location d'un puissant botnet peut chuter extrêmement bas avec une commande suffisamment importante, tandis que d'autres ont annoncé des tarifs journaliers pour seulement des dizaines de dollars.
La facilité d'accès empiète sur l'activité de cybercriminalité établie.
"Les attaquants se font concurrence pour avoir le plus d'"ordinateurs zombies" possible afin d'augmenter leur valeur lorsqu'ils proposent des services à d'autres attaquants, notamment lorsqu'il s'agit de déployer des infrastructures."
En conséquence, il y a une sorte d'escalade spectaculaire des fonctionnalités des logiciels malveillants pour se propager davantage, durer plus longtemps et récolter des bénéfices plus rentables.
La principale fonctionnalité de Mylobot est d'exposer le contrôle du système à l'attaquant. À partir de là, l'attaquant a accès aux informations d'identification en ligne, aux fichiers système et bien plus encore.
Le vrai dommage est finalement la décision de celui qui attaque le système. Les logiciels malveillants dotés des fonctionnalités de Mylobot peuvent facilement entraîner des dommages considérables, en particulier lorsqu'ils sont détectés dans l'environnement de l'entreprise.
Mylobot a également des liens vers d'autres botnets, notamment DorkBot, Ramdo et le tristement célèbre réseau Locky. Si Mylobot agit comme un intermédiaire pour d'autres types de botnets et de logiciels malveillants, quiconque tombera sous le coup de ce logiciel malveillant passera un très mauvais moment :
"Le fait que le botnet se comporte comme une porte pour des charges utiles supplémentaires expose également l'entreprise à un risque de fuite de données sensibles, suite au risque d'installation d'enregistreurs de frappe / chevaux de Troie bancaires."
Eh bien, voici la mauvaise nouvelle :on pense que Mylobot infecte activement les systèmes depuis plus de deux ans à ce stade. Ses serveurs de commande et de contrôle ont été utilisés pour la première fois en novembre 2015.
Ainsi, Mylobot semble avoir esquivé tous les autres chercheurs et entreprises en sécurité pendant un certain temps avant de se heurter aux outils de cyber-recherche d'apprentissage en profondeur de Deep Instinct.
Malheureusement, vos outils antivirus et antimalware habituels ne détecteront pas quelque chose comme Mylobot, du moins pour le moment.
Maintenant qu'il existe un échantillon Mylobot, davantage d'entreprises de sécurité et de chercheurs peuvent utiliser la signature. À leur tour, ils garderont un œil beaucoup plus attentif sur Mylobot.
En attendant, vous devez consulter notre liste des meilleurs antivirus informatiques et de sécurité ! Bien que votre antivirus ou antimalware habituel ne détecte pas Mylobot, il existe énormément d'autres logiciels malveillants qui s'arrêteront définitivement .
Cependant, s'il est trop tard pour vous et que vous craignez déjà une infection, consultez notre guide complet sur la suppression des logiciels malveillants. Cela vous aidera, vous et votre système, à surmonter la grande majorité des logiciels malveillants, et commencera à prendre des mesures pour éviter que cela ne se reproduise.