Un botnet sophistiqué connu sous le nom de MyloBot a compromis des milliers de systèmes, dont la plupart sont situés en Inde, aux États-Unis, en Indonésie et en Iran.
C’est selon les nouvelles découvertes de BitSight, qui a déclaré qu’il « voyait actuellement plus de 50 000 systèmes infectés uniques chaque jour », contre un sommet de 250 000 hôtes uniques en 2020.
De plus, une analyse de l’infrastructure de MyloBot a trouvé des connexions à un service de proxy résidentiel appelé BHProxies, indiquant que les machines compromises sont utilisées par ce dernier.
MyloBot, qui a émergé dans le paysage des menaces en 2017, a été documenté pour la première fois par Deep Instinct en 2018, appelant ses techniques anti-analyse et sa capacité à fonctionner comme un téléchargeur.
« Ce qui rend Mylobot dangereux, c’est sa capacité à télécharger et à exécuter tout type de charge utile après avoir infecté un hôte », a déclaré Black Lotus Labs de Lumen en novembre 2018. « Cela signifie qu’à tout moment, il peut télécharger tout autre type de logiciel malveillant que l’attaquant souhaite. «
L’année dernière, le logiciel malveillant a été observé en train d’envoyer des e-mails d’extorsion à partir de terminaux piratés dans le cadre d’une campagne à motivation financière visant à obtenir plus de 2 700 dollars en Bitcoin.
MyloBot est connu pour utiliser une séquence en plusieurs étapes pour décompresser et lancer le malware bot. Notamment, il reste également inactif pendant 14 jours avant de tenter de contacter le serveur de commande et de contrôle (C2) pour contourner la détection.
La fonction principale du botnet est d’établir une connexion à un domaine C2 codé en dur intégré dans le logiciel malveillant et d’attendre d’autres instructions.
« Lorsque Mylobot reçoit une instruction du C2, il transforme l’ordinateur infecté en proxy », a déclaré BitSight. « La machine infectée sera capable de gérer de nombreuses connexions et de relayer le trafic envoyé via le serveur de commande et de contrôle. »
Les itérations suivantes du logiciel malveillant ont exploité un téléchargeur qui, à son tour, contacte un serveur C2, qui répond par un message crypté contenant un lien pour récupérer la charge utile MyloBot.
La preuve que MyloBot pourrait faire partie de quelque chose de plus grand découle d’une recherche DNS inversée de l’une des adresses IP associées à l’infrastructure C2 du botnet qui a révélé des liens avec un domaine nommé « clients.bhproxies[.]com ».
La société de cybersécurité basée à Boston a déclaré qu’elle avait commencé à faire disparaître MyloBot en novembre 2018 et qu’elle continuait de voir le botnet évoluer au fil du temps.