Les chercheurs en cybersécurité de ZeroFox Intelligence ont récemment découvert un nouveau botnet basé sur Golang, baptisé Kraken. Ce nouveau botnet est en cours de développement actif et exploité par les acteurs de la menace pour déployer des portes dérobées afin de voler des données sensibles aux hôtes Windows.

Initialement, ce botnet, Kraken a été détecté fin octobre 2021 et après sa visibilité, il a été découvert que les premières variantes du botnet Kraken sont basées sur du code open source qui a été téléchargé sur GitHub.

Cependant, après la détection, il n’est pas encore clair si le profil GitHub où les premières variantes ont été téléchargées appartient aux opérateurs du botnet Kraken ou si le code a été utilisé pour lancer leur développement uniquement.

Capacités de Kraken
Après une analyse plus approfondie, il a été identifié que le botnet Kraken offre certaines fonctionnalités et capacités clés, et nous les avons toutes mentionnées ci-dessous : –

Téléchargez les charges utiles secondaires sur le système compromis.
Exécutez des charges utiles secondaires sur le système compromis.
Exécutez des commandes shell sur le système de la victime.
Prenez des captures d’écran du système de la victime.
Recueillir des informations sur l’hôte pour l’enregistrement (varie selon la version).
Maintenir la persistance sur le système de la victime.
Volez divers portefeuilles de crypto-monnaie.
Vecteur d’infection
Étant donné que Kraken utilise SmokeLoader pour installer d’autres logiciels malveillants, les opérateurs de Kraken propagent facilement ce botnet dans des fichiers RAR SFX auto-extractibles qui sont téléchargés à l’aide du logiciel malveillant SmokeLoader.

Alors que les fichiers RAR SFX auto-extractibles contiennent les ingrédients suivants : –

Une version UPX de Kraken.
Voleur RedLine.
Un binaire utilisé pour supprimer Kraken.

En dehors de cela, actuellement, le malware SmokerLoader télécharge directement la version actuelle du botnet Kraken, et ici tous les binaires Kraken qui sont emballés dans UPX restent protégés par le packer Themida.

Portefeuilles ciblés
Ici, nous avons mentionné ci-dessous tous les portefeuilles crypto ciblés par le botnet Kraken : –

  • Armory
  • Atomic Wallet
  • Bytecoin
  • Electrum
  • Exodus
  • Guarda
  • Jaxx Liberty
  • Zcash


Voici ce que les analystes en cybersécurité de ZeroFox Intel ont déclaré : –

« On ignore actuellement ce que l’opérateur a l’intention de faire avec les informations d’identification volées qui ont été collectées ou quel est l’objectif final de la création de ce nouveau botnet. »

Recommandations
Les chercheurs en sécurité ont mentionné quelques recommandations et nous les avons mentionnées ci-dessous : –

Utilisez des systèmes de sécurité et des outils audiovisuels robustes.
Maintenez votre système et vos logiciels à jour.
Activez l’authentification à deux facteurs.
Vérifiez régulièrement et effectuez une sauvegarde hors ligne de vos données.
Soyez prudent avant d’ouvrir des pièces jointes inconnues reçues dans l’e-mail.
Ne cliquez pas sur les liens suspects.
Surveillez et examinez toujours les journaux système et réseau.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *