Qu'est-ce qu'un logiciel malveillant Mylobot? Comment ça marche et que faire?
La cybersécurité est un champ de bataille constant. En 2017, des chercheurs en sécurité ont découvert environ 23 000 nouveaux spécimens de logiciels malveillants par jour (soit 795 par heure)..
Bien que ce titre soit choquant, il s’avère que la majorité de ces spécimens sont des variantes du même type de malware. Ils ont juste un code légèrement différent que chacun crée un “Nouveau” Signature.
De temps à autre, cependant, une toute nouvelle souche de logiciels malveillants fait son apparition. Mylobot en est un exemple: il est nouveau, très sophistiqué et gagne du terrain.
Qu'est-ce que Mylobot??
Mylobot est un malware botnet Qu'est-ce qu'un botnet et votre ordinateur en fait-il partie? Qu'est-ce qu'un botnet et votre ordinateur en fait-il partie? Les botnets sont une source majeure de logiciels malveillants, de ransomwares, de spam, etc. Mais qu'est-ce qu'un botnet? Comment naissent-ils? Qui les contrôle? Et comment pouvons-nous les arrêter? Lisez plus qui emballe une quantité sérieuse d'intention malveillante. Le nouveau malware a été découvert pour la première fois par Tom Nipravsky, chercheur en sécurité chez Deep Instinct, qui a déclaré: “la combinaison et la complexité de ces techniques n'ont jamais été vues à l'état sauvage avant.”
Ce malware associe en effet un large éventail de techniques sophistiquées d’infection et d’obscurcissement dans un package puissant. Regarde:
- Techniques anti-machine virtuelle (VM): Le malware vérifie dans son environnement local les signes d’une machine virtuelle et, s’il est détecté, ne parvient pas à s’exécuter.
- Techniques anti-bac à sable: Très similaire aux techniques anti-VM.
- Techniques anti-débogage: Arrête un chercheur en sécurité travaillant efficacement sur un échantillon de malware, en modifiant le comportement en présence de certains programmes de débogage.
- Envelopper des pièces internes avec un fichier de ressources chiffré: Protéger davantage le code interne du malware avec un cryptage.
- Techniques d'injection de code: Mylobot exécute un code personnalisé pour attaquer le système, en injectant son code personnalisé dans les processus système pour obtenir un accès et perturber les opérations courantes..
- Processus de cavage: Un attaquant crée un nouveau processus dans un état suspendu, puis remplace celui censé être caché.
- EXE réfléchissant: Le fichier EXE s'exécute à partir de la mémoire plutôt que du disque.
- Mécanisme de retard: Le logiciel malveillant reste en veille pendant 14 jours avant de se connecter aux serveurs de commande et de contrôle.
Mylobot s'efforce de rester caché.
Les techniques anti-sandboxing, anti-débogage et anti-VM tentent d'empêcher le malware d'apparaître dans les analyses anti-programme malveillant, ainsi que d'empêcher les chercheurs d'isoler le malware sur une machine virtuelle ou un environnement en bac à sable pour analyse.
L’exécutable de réflexion rend Mylobot encore plus indétectable, car il n’existe aucune activité de disque directe pour votre suite antivirus ou antimalware à analyser..
Les manœuvres d'évitement de Mylobot
Selon ce que Nipravsky a déclaré à Threatpost:
“La structure du code lui-même est très complexe: il s'agit d'un malware multi-thread où chaque thread est responsable de la mise en œuvre de différentes fonctionnalités du malware..”
Et:
“Le malware contient trois couches de fichiers, imbriquées les unes dans les autres, où chaque couche est chargée d'exécuter la suivante. La dernière couche utilise la technique [le fichier EXE réfléchissant].”
Outre les techniques anti-analyse et anti-détection, Mylobot peut attendre jusqu'à 14 jours avant de tenter d'établir une communication avec ses serveurs de commande et de contrôle..
Lorsque Mylobot établit une connexion, le botnet ferme Windows Defender et Windows Defender, ainsi que plusieurs ports du pare-feu Windows. 7 Principaux programmes de pare-feu à prendre en compte pour la sécurité de votre ordinateur 7 Principaux programmes de pare-feu à prendre en compte pour la sécurité de votre ordinateur Des pare-feu sont essentiels. pour la sécurité informatique moderne. Voici vos meilleures options et laquelle vous convient le mieux. Lire la suite .
Mylobot cherche et tue d'autres types de programmes malveillants
L’une des fonctions les plus intéressantes et les plus rares du malware Mylobot est sa fonction de recherche et destruction..
Contrairement à d'autres logiciels malveillants, Mylobot est prêt à éradiquer d'autres types de logiciels malveillants déjà présents sur le système cible. Mylobot analyse les dossiers de données d'application du système dans les dossiers Application Data du système. S'il trouve un fichier ou un processus donné, Mylobot le termine..
Nipravsky pense que cette activité de malware rare et hyper-agressive a plusieurs raisons. L'augmentation du nombre de ransomwares en tant que service et d'autres logiciels malveillants payants «à la carte» Ransomware en tant que service va apporter le chaos à tout le monde Ransomware en tant que service va apporter le chaos à tout le monde Ransomware se déplace de ses racines à outil de criminels et de malfaiteurs dans un secteur de services inquiétant, dans lequel n'importe qui peut s'abonner à un service de ransomware et cibler des utilisateurs comme vous et moi. En savoir plus, les variantes ont considérablement réduit la possibilité de devenir un cybercriminel. Certains kits de ransomware et d’exploitation complets sont disponibles gratuitement dans le cadre de programmes d’affiliation (en particulier le ransomware Saturn)..
En outre, le coût pour engager un botnet puissant peut baisser extrêmement bas avec une commande suffisamment importante, tandis que d'autres ont annoncé des tarifs journaliers pour seulement des dizaines de dollars..
La facilité d'accès empiète sur les activités de cybercriminalité établies.
“Les attaquants se font concurrence pour disposer du plus grand nombre possible d'ordinateurs zombies afin d'accroître leur valeur lorsqu'ils proposent des services à d'autres attaquants, notamment lorsqu'il s'agit de déployer des infrastructures..”
Il en résulte une sorte d'escalade spectaculaire des fonctionnalités des logiciels malveillants pour se propager davantage, durer plus longtemps et récolter des bénéfices plus rentables..
Qu'est-ce que Mylobot fait exactement??
La principale fonctionnalité de Mylobot est d'exposer le contrôle du système à l'attaquant. À partir de là, l'attaquant a accès aux informations d'identification en ligne, aux fichiers système et bien plus encore..
Le dommage réel est finalement la décision de quiconque attaque le système. Les logiciels malveillants dotés des fonctionnalités de Mylobot peuvent facilement causer des dommages considérables, en particulier dans les environnements d'entreprise..
Mylobot a également des liens vers d'autres réseaux de zombies, notamment DorkBot, Ramdo et le tristement célèbre réseau Locky. Si Mylobot agit en tant que canal pour d'autres réseaux de zombies et autres types de logiciels malveillants, les personnes qui tomberont sous le contrôle de ce logiciel malveillant passeront un très mauvais moment:
“Le fait que le réseau de zombies se comporte comme une porte ouverte pour des charges utiles supplémentaires fait courir à l'entreprise un risque de fuite de données sensibles, en raison du risque d'installation de enregistreurs de frappe ou de chevaux de Troie bancaires..”
Comment rester en sécurité contre Mylobot?
Eh bien, voici la mauvaise nouvelle: on pense que Mylobot a activement infecté les systèmes pendant plus de deux ans à ce stade. Ses serveurs de commande et de contrôle ont été utilisés pour la première fois en novembre 2015.
Ainsi, Mylobot semble avoir longtemps esquivé tous les autres chercheurs et sociétés du secteur de la sécurité avant de se lancer dans les outils de recherche en profondeur de Cyber Research de Deep Instinct..
Malheureusement, vos outils antivirus et antimalware habituels ne vont pas choisir quelque chose comme Mylobot, du moins pour le moment..
Maintenant qu'il existe un échantillon Mylobot, davantage de sociétés de sécurité et de chercheurs peuvent utiliser la signature. À leur tour, ils garderont un œil beaucoup plus attentif sur Mylobot.
En attendant, vous devez consulter notre liste des meilleurs outils antivirus informatiques et de sécurité! Même si votre antivirus ou votre logiciel anti-programme malveillant ne détecte pas toujours Mylobot, de nombreux autres programmes malveillants existent déjà. ça va définitivement s'arrêter.
Toutefois, s'il est trop tard pour vous et que vous craignez déjà une infection, consultez notre guide complet sur la suppression des logiciels malveillants. Guide de suppression complète des logiciels malveillants Guide de suppression complète des logiciels malveillants Les logiciels malveillants sont omniprésents de nos jours et supprimer les logiciels malveillants de votre système est un processus long, nécessitant des conseils. Si vous pensez que votre ordinateur est infecté, c’est le guide dont vous avez besoin. Lire la suite . Cela vous aidera, ainsi que votre système, à vaincre la grande majorité des programmes malveillants et commencera à prendre des mesures pour l'empêcher de se reproduire.
En savoir plus sur: Sécurité informatique, Logiciels malveillants.