Un botnet venu de Géorgie s'émancipe

Le par  |  0 commentaire(s)
Réseau botnets

Présenté comme très élaboré par ESET, le malware Win32/Georbot est doté de nombreuses fonctionnalités. Il est à l'origine d'un botnet venu de Géorgie qui commence à s'étendre à d'autres pays.

L'éditeur de NOD32 Antivirus attire l'attention sur un botnet jugé " très élaboré ". Basé en Géorgie avec 70 % des infections détectées, il a entamé son voyage vers d'autres pays à commencer par les États-Unis ( 5 % ), l'Allemagne ( 4 % ) et la Russie ( 3,5 % ). La France ( 1 % ) figure dans le Top 7 des pays les plus infectés.

L'arsenal du malware Win32/Georbot à l'origine du botnet est plutôt complet. Il vole des documents ( Word ) et certificats, peut créer des enregistrements audio et vidéo via la webcam, prend des captures d'écran, scanne tout un réseau local à la recherche d'informations et peut exécuter des commandes arbitraires sur un système infecté.

Une particularité notable est qu'il recherche des fichiers de configuration pour le Bureau à distance de Windows ( désactivé par défaut ) ce qui permet aux attaquants qui reçoivent ces fichiers de se connecter à distance sur une machine infectée, sans la nécessité d'avoir recours à un exploit. ESET souligne ainsi que cette approche contourne le besoin d'exploits pour le protocole RDP comme celui qui est récemment apparu.

Réseau botnetsGeorbot n'est pas pour autant de première jeunesse et a été repéré fin 2010. Il est toujours en développement avec plusieurs variantes identifiées dont une le 20 mars. " W32/Georbot a la capacité de se mettre à jour pour se métamorphoser en une nouvelle version, ce qui lui permet de ne pas être détecté par les scanners anti-malware ", écrit ESET.

" Ce botnet peut également se mettre en repli s'il n'arrive pas à atteindre le serveur de commande et dès lors se connecter à une page Internet spéciale hébergée sur un serveur appartenant au gouvernement Georgien ", ajoute ESET qui précise que cela ne signifie pas une quelconque implication du gouvernement géorgien.

ESET ne pense pas qu'un État se cache derrière ce botnet, mais plutôt un groupe de cybercriminels en quête d'informations sensibles à revendre.

Complément d'information
  • WireX : démantèlement d'un botnet Android
    Un botnet réorienté pour des attaques DDoS a été démantelé au prix d'un effort de collaboration entre plusieurs entreprises. Il était principalement constitué d'appareils Android infectés. Le Google Play Store s'est aussi fait ...
  • Hajime : le botnet qui infecte les objets IoT...pour les protéger
    Les attaques du botnet Mirai utilisant des objets connectés pour lancer de puissantes attaques DDoS montrent la fragilité des défenses de nombre de gadgets IoT. Un autre botnet, Hajime, se propage avec l'intention de renforcer les ...

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]