16/12/2024

Actu Cybersécurité

Menace active : le botnet Mylobot infecte 50 000 machines par jour

Mylobot, c'est le nom d'un botnet très actif puisqu'il infecte plus de 50 000 appareils par jour. Même s'il est peu présent en France, c'est une menace active à l'échelle mondiale.

Actif depuis 2017, le botnet Mylobot serait au top de sa forme d'après un rapport mis en ligne par BitSight : "Nous voyons actuellement plus de 50 000 systèmes infectés uniques chaque jour". Toutefois, il ne pourrait s'agir que d'une partie d'un botnet beaucoup plus important associé au service du site bhproxies[.]com. À ce rythme, le nombre d'hôtes infectés va devenir très conséquent... Tout en sachant qu'en 2020, il avait infecté 250 000 hôtes uniques.

Ce botnet cible les machines sous Windows et lorsqu'une machine est infectée, le malware ne rentre pas directement en action. En effet, il reste inactif pendant 14 jours afin d'éviter d'être détecté, et ensuite, il contacte le serveur C2 des cybercriminels. Pour ces connexions, Mylobot s'appuie sur plus de 1 000 domaines en ".ru" et ".com" codé en dur et pour chaque domaine, le botnet est capable d'établir des connexions vers différents sous-domaines.

La machine infectée joue le rôle de proxy pour les attaquants : "Lorsque Mylobot reçoit une instruction du [serveur] C2, il transforme l'ordinateur infecté en un proxy. La machine infectée sera capable de gérer de nombreuses connexions et de relayer le trafic envoyé par le serveur de commande et de contrôle".

Ce n'est pas tout puisque Mylobot est capable de télécharger et d'exécuter des payloads sur la machine infectée. Par exemple, l'année dernière, Mylobot a été utilisé pour envoyer des e-mails à partir de machines infectées, dans le cadre d'une campagne de phishing.

Si l'on regarde la carte ci-dessous, on constate que Mylobot est particulièrement présent aux États-Unis, en Iran et en Indonésie. La France est aussi impactée, dans une moindre mesure.

Source : BitSight

Dans le rapport de BitSight, vous pouvez retrouver une liste des adresses IP malveillantes utilisées par les pirates.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.