Menace active : le botnet Mylobot infecte 50 000 machines par jour
Mylobot, c'est le nom d'un botnet très actif puisqu'il infecte plus de 50 000 appareils par jour. Même s'il est peu présent en France, c'est une menace active à l'échelle mondiale.
Actif depuis 2017, le botnet Mylobot serait au top de sa forme d'après un rapport mis en ligne par BitSight : "Nous voyons actuellement plus de 50 000 systèmes infectés uniques chaque jour". Toutefois, il ne pourrait s'agir que d'une partie d'un botnet beaucoup plus important associé au service du site bhproxies[.]com. À ce rythme, le nombre d'hôtes infectés va devenir très conséquent... Tout en sachant qu'en 2020, il avait infecté 250 000 hôtes uniques.
Ce botnet cible les machines sous Windows et lorsqu'une machine est infectée, le malware ne rentre pas directement en action. En effet, il reste inactif pendant 14 jours afin d'éviter d'être détecté, et ensuite, il contacte le serveur C2 des cybercriminels. Pour ces connexions, Mylobot s'appuie sur plus de 1 000 domaines en ".ru" et ".com" codé en dur et pour chaque domaine, le botnet est capable d'établir des connexions vers différents sous-domaines.
La machine infectée joue le rôle de proxy pour les attaquants : "Lorsque Mylobot reçoit une instruction du [serveur] C2, il transforme l'ordinateur infecté en un proxy. La machine infectée sera capable de gérer de nombreuses connexions et de relayer le trafic envoyé par le serveur de commande et de contrôle".
Ce n'est pas tout puisque Mylobot est capable de télécharger et d'exécuter des payloads sur la machine infectée. Par exemple, l'année dernière, Mylobot a été utilisé pour envoyer des e-mails à partir de machines infectées, dans le cadre d'une campagne de phishing.
Si l'on regarde la carte ci-dessous, on constate que Mylobot est particulièrement présent aux États-Unis, en Iran et en Indonésie. La France est aussi impactée, dans une moindre mesure.
Dans le rapport de BitSight, vous pouvez retrouver une liste des adresses IP malveillantes utilisées par les pirates.
