Mylobot : Qu'est-ce que ce malware botnet sophistiqué ? Fonctionnement et protections efficaces

La cybersécurité est un champ de bataille incessant. En 2017, les chercheurs ont identifié environ 23 000 nouveaux spécimens de malwares par jour, soit 795 par heure.

Si ce chiffre impressionne, la plupart sont des variantes mineures d'existants, différant par une signature modifiée. Cependant, de vraies nouveautés émergent parfois, comme Mylobot : un botnet hautement sophistiqué en pleine expansion.

Qu'est-ce que Mylobot ?

Mylobot est un malware botnet aux intentions malveillantes multiples. Découvert par Tom Nipravsky de Deep Instinct, il combine des techniques d'infection et d'obscurcissement inédites, comme il l'a déclaré : « La combinaison et la complexité de ces techniques n'avaient jamais été vues dans la nature auparavant ».

Voici ses principales techniques :

Anti-machines virtuelles : Détecte et évite les VM.
Anti-sandbox : Similaire aux anti-VM.
Anti-débogage : Modifie son comportement face aux outils d'analyse.
Chiffrement des ressources internes : Protège le code par cryptage.
Injection de code : Injecte du code dans les processus système.
Process hollowing : Remplace un processus légitime par un malveillant.
EXE réfléchissant : S'exécute en mémoire, sans trace disque.
Délai d'activation : Attend 14 jours avant connexion C2.

Mylobot excelle dans l'évasion : anti-sandbox, anti-VM et EXE réfléchissant le rendent quasi indétectable.

Manœuvres évasives de Mylobot

Selon Nipravsky à Threatpost :

« La structure du code est très complexe : un malware multi-thread où chaque thread implémente des capacités distinctes. »

Et :

« Trois couches de fichiers imbriquées, la dernière utilisant l'EXE réfléchissant. »

Il attend jusqu'à 14 jours pour contacter ses serveurs C2, puis désactive Windows Defender, Windows Update et des ports pare-feu.

Mylobot traque et élimine d'autres malwares

Unique en son genre, Mylobot supprime les malwares concurrents en scannant les dossiers d'applications. Nipravsky explique cette agressivité par la concurrence accrue : ransomwares-as-a-service et botnets low-cost saturent le marché, poussant à l'escalade.

« Les attaquants rivalisent pour maximiser leurs zombies, augmentant leur valeur locative. »

Que fait exactement Mylobot ?

Il cède le contrôle système à l'attaquant : accès aux identifiants, fichiers... Liens avec DorkBot, Ramdo et Locky en font une porte d'entrée pour d'autres menaces.

« Risque de fuites de données via keyloggers ou trojans bancaires. »

Comment se protéger de Mylobot ?

Actif depuis novembre 2015, Mylobot a évadé les détections jusqu'à Deep Instinct. Les antivirus classiques peinent ; attendez les signatures mises à jour.

Consultez notre sélection des meilleurs antivirus pour bloquer la majorité des menaces. En cas d'infection suspectée, suivez notre guide de suppression des malwares.

[]

Supprimer les voix d'une chanson avec Audacity : Tutoriel complet et gratuit Comment augmenter le volume sur un Chromebook au-delà du maximum : Guide expert

Bandcamp Friday : Qu'est-ce que c'est et comment ça fonctionne ?

Fandango : qu'est-ce que c'est et comment ça fonctionne ? Guide complet

Raspberry Pi : Qu'est-ce que c'est, comment le configurer et idées de projets innovants

Patreon : qu'est-ce que c'est et comment ça fonctionne ? Guide complet pour les supporters

mshelper sur Mac : qu'est-ce que c'est ? Diagnostic et suppression du malware

Phosphorylation : définition, mécanismes et rôles clés en biochimie