Les cas croissants et imprévisibles de menaces de botnet

Du cryptomining aux attaques DDoS, les menaces de botnet peuvent apparaître sur vos appareils de plusieurs manières. Des chercheurs ont partagé leurs découvertes sur la façon dont les cybercriminels exploitent de multiples failles et tirent parti des mots de passe de connexion à distance faibles pour préparer votre appareil à un crime plus grave. 

Qu'est-ce qui a été trouvé ?

Une nouvelle variante du botnet Gafgyt qui utilise le réseau Tor pour cibler les appareils D-Link et IoT vulnérables a été identifiée par les chercheurs de NetLab 360.

  • La nouvelle variante baptisée Gafgyt_tor - dont la fonction principale est toujours les attaques DDoS et l'analyse - semble être l'œuvre du groupe keksec, alias le groupe de cybercriminels nommé Freak.
  • Pour échapper à la détection, cette version utilise Tor pour masquer ses communications C2 et crypte les chaînes sensibles dans les échantillons.

Mode opératoire

  • Le botnet se propage via des mots de passe Telnet faibles ou exploite trois vulnérabilités connues : une faille RCE dans les appareils D-Link, une vulnérabilité RCE dans le logiciel de portail d'entreprise Liferay (aucun CVE n'est disponible pour cela) et une faille (CVE-2019-19781) dans Citrix ADC.
  • Les experts ont noté que la structure du code de la fonction principale de Gafgyt_tor est largement incohérente. En effet, il y a une grande section de code pour la fonction tor_socket_init qui peut créer une liste de plus de 100 proxies Tor.
  • Enfin, les nouveaux échantillons choisissent un nœud dans la liste pour activer la communication Tor.

Conclusion 

L'année dernière, un botnet appelé Hoaxcalls était apparu, en tant que variante de la famille Gafgyt, abusant d'une vulnérabilité dans Symantec Secure Web Gateways. Les chercheurs estiment que les cybercriminels derrière Gafgyt feront un développement continu principalement 
en créant de nouvelles variantes de différents botnets. Cependant, la solution à de telles menaces reste basique, y compris un correctif opportun pour vos appareils et la surveillance de vos communications réseau.