Operation de shutdown de botnets Gamarue (Andromeda bot)

L'actualité & News Informatique!
Donc pas de demande d'aide dans cette partie.
Malekal_morte
Messages : 111004
Inscription : 10 sept. 2005 13:57

Operation de shutdown de botnets Gamarue (Andromeda bot)

par Malekal_morte »

Gamarue (aka Andromeda bot) est un trojan stealer assez évolué qui est encore relativement utilisé.
Courant Décembre, une opération massive impliquant Microsoft, Eset, Coordinated Malware Eradication (CME) visant des botnets du Trojan Gamarue a eu lieu.

Voici les statistiques de l'opération :
  • 1,214 domaines et IP utilisés comme C&C pour les botnets
  • 464 botnets distincts
  • plus de 80 familles de malwares sont associés à ces botnets
Quelques informations ont été partagées sur cette opération et ces botnet Gamarue.

Présentation du malware et opération contre Gamarue

Le malware Andromeda se présente sous la forme d'un kit vendu dans le milieu underground sous la forme :
  • Bot-builder : permet de créer le binaire malveillant et d'infecter les ordinateurs
  • Command-and-control application (C&C) : sous la forme d'un site en PHP qui permet de gérer le botnet et contrôler les ordinateurs infectés. Un aperçu de ce dernier est disponible sur la page suivante : https://www.malekal.com/?p=10641
  • Documentation pour créer son botnet
Une présentation du cheval de troie Andromeda / Gamartue est disponible sur le site : Worm:Win32/Gamarue et Andromeda / SmokeBot: stealer.
Il s'agit d'un malware utilisant des injections de processus comme wuauclt.exe, wupgrade.exe, svchost.exe (version 2.06) ou encore msiexec.exe (Gamarue versions 2.07 à 2.10).
Le cheval de troie est aussi connu pour désactier le pare-feu de Windows ainsi que Windows Update afin d'affaiblir l'ordinateur infecté.

Gamarue comme la plupart des cheval de troie évolué est modulaire, à partir de plugins que l'on peut acheter, vous pouvez étendre les fonctionnalités du trojan.
On trouve ainsi les plugins suivants :
  • Keylogger ($150) – pour enregistgrer les frappes claviers et récupérer des mots de passe, compte internet et autres.
  • Rootkit – permet de cacher le processus du malware pour permettre une meilleure persistence.
  • Socks4/5 – l'ordinateur infecté agit comme un proxy ce qui peut permettre à d'autres pirates de cacher sur internet en utilisant ce dernier. Cette activité peut servir pour monétiser le botnet.
  • Formgrabber ($250) – Capture les données des formulaires à partir des navigateurs internet envoyées aux serveurs (fonctionnalité de Trojan Stealer)
  • Teamviewer ($250) – l'ordinateur peut-être contrôlé à distance : capture d'écran, bouger la souris, envoyer/supprimer des fichiers etc.
  • Spreader – Donne la possibilité aux malware de se propager via les médias amovibles : Virus par clé USB
On voit donc clairement que le Trojan est pensé pour voler le plus de données possible sur l'ordinateur tout en permettant le contrôle de l'ordinateur pour agir en tant que botnet.
Outre les méthodes citées ci-dessus, les botnet Gamarue peuvet être monétiser pour installer d'autres malwares.
80 familles de malwares différentes ont été ainsi installeés, parmi elles
  • Petya (ransomware)
  • Cerber (ransomware)
  • Troldesh (ransomware)
  • Ursnif (info-stealing and banking trojan)
  • Carberp (info-stealing and banking trojan)
  • Fareit (info-stealing and DDoS malware)
  • Kasidet (worm and DDoS malware)
  • Lethic (spam bot)
  • Cutwail (spam bot)
  • Neurevt (click-fraud malware)
  • Ursnif (click-fraud malware)
  • Fynloski (backdoor)
Depuis 2011, Gamarue a été en lien avec différentes autres familles de malwares dont : Méthode de propagation du Trojan Gamarue

Les méthodes de propagation de ce cheval de troie, on retrouve les méthodes classiques comme :
  • Attaque les médias amovibles : Virus par clé USB
  • Capable d'attaquer les réseaux sociaux (comme Facebook), des messages incluant des liens vers le Trojan Gamarue sont envoyés pour infecter de nouveaux internautes.
  • peut être propager par des exploits WEB
  • Des emails malveillants
  • Trojan downloaders
gamarue-attack-kill-chain.png


Informations et répartitions des botnets Gamarue

Un malware encore très actif.
Durant les six derniers mois, le trojan Gamarue a été détecté sur environ 1,095,457 machines chaque mois.
monthly-gamarue-andromeda-encounters.png
Côté répartition géographique, l'inde, l'indonésie et la turquie sont les plus visés.
L'Asie arrive donc loin devant sur les pays visés.
botnet-gamarue-geo-chart.png
botnet-gamarue-geo-repartition.png
source : https://blogs.technet.microsoft.com/mmp ... andromeda/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Actualité & News Informatique »