Une analyse en cours du botnet KmsdBot a soulevé la possibilité qu’il s’agisse d’un service DDoS à louer offert à d’autres acteurs de la menace.

Ceci est basé sur les différentes industries et zones géographiques qui ont été attaquées, a déclaré la société d’infrastructure Web Akamai. Parmi les cibles notables figuraient FiveM et RedM, qui sont des modifications de jeu pour Grand Theft Auto V et Red Dead Redemption 2, ainsi que des marques de luxe et des sociétés de sécurité.

KmsdBot est un logiciel malveillant basé sur Go qui exploite SSH pour infecter les systèmes et mener des activités telles que l’extraction de crypto-monnaie et lancer des commandes à l’aide de TCP et UDP pour monter des attaques par déni de service distribué (DDoS).

Cependant, l’absence d’un mécanisme de vérification des erreurs dans le code source des logiciels malveillants a amené les opérateurs de logiciels malveillants à planter par inadvertance leur propre botnet le mois dernier.

« Sur la base des adresses IP et des domaines observés, la majorité des victimes se trouvent en Asie, en Amérique du Nord et en Europe », ont déclaré les chercheurs d’Akamai, Larry W. Cashdollar et Allen West. « La présence de ces commandes suit les observations précédentes de serveurs de jeux ciblés et offre un aperçu des clients de ce botnet à louer. »

Akamai, qui a examiné le trafic d’attaque, a identifié 18 commandes différentes que KmsdBot accepte d’un serveur distant, dont l’une, appelée « bigdata », permet d’envoyer des paquets indésirables contenant de grandes quantités de données à une cible dans le but d’épuiser sa bande passante.

Sont également incluses des commandes telles que « fivem » et « redm » qui sont conçues pour cibler les serveurs de mods de jeux vidéo, ainsi qu’une instruction « scan » qui « semble cibler des chemins spécifiques dans l’environnement cible ».

La cartographie des tentatives d’infection du botnet signale une activité minimale sur le territoire russe et les régions voisines, offrant potentiellement un indice sur ses origines.

Une autre ventilation des commandes d’attaque observées sur une période de 30 jours montre que « bigdata » mène avec une fréquence de plus de 70. Les appels à « fivem » se sont produits 45 fois, tandis que « redm » a vu moins de 10 appels.

« Cela nous indique que bien que les serveurs de jeux soient une cible spécifique offerte, ce n’est peut-être pas la seule industrie qui est touchée par ces attaques », ont déclaré les chercheurs. « La prise en charge de plusieurs types de serveurs augmente la convivialité globale de ce botnet et semble être efficace pour attirer les clients. »

Les résultats surviennent une semaine après que Microsoft a détaillé un botnet multiplateforme connu sous le nom de MCCrash, doté de capacités pour mener des attaques DDoS contre des serveurs Minecraft privés.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *