Retadup malware : démantèlement d'un botnet

[Malekal_morte]

Redatup est un malware qui existe puis plusieurs années.
Ce dernier est écrit en AutoIt ou AutoHotkey.
Une fois actif, il créé un une clé RUN ou tâche planifiée afin de se lancer au démarrage de Windows.

retadup-persistance.png

Il s'agit d'un ver informatique (worm) qui créé ensuite un fichier raccourci (LNK) sur les partages réseaux ou lecteurs connectés.
Si l'utilisateur lance le raccourci, il infecte le PC à son tour.
Enfin kes auteurs ont pu charger d'autres trojan RAT ou encore des miners afin de monétiser le botnet.

Redatup vise principalement l'Amérique du Sud.
Entre le 2 Juillet et 19 Août, Avast! a idéntifié environ 850,000 PC infectés.
Les méthodes de distribution restent classique comme des mails vérolés.

retadup-infection-map.png

La version 7 de Windows a largement été la plus touchée.

retadup-os-version.png

En clair donc, rien de vraiment extraordinaire concernant ce malware qui relativement simple.

Démantèlement du botnet

Le botnet s'appuie des serveurs de contrôles (C&C) localisés en France et USA.

La gendarmerie Nationale en collaboration avec le FBI et Avast! ont pu mettre hors ligne le botnet.
Ils ont copié un des serveurs de contrôles afin d'en prendre le contrôle en mettant hors ligne les autres.
Les autorités ont pu ensuite charger un code sur les PC infectés pour supprimer le malware.

source :
https://decoded.avast.io/janvojtesek/pu ... thousands/
https://www.zdnet.com/google-amp/articl ... ssion=true

[Malekal_morte]

Un article un peu plus complet sur Libe même si ça reprend aussi ce qui est dit précédemment : Gendarmerie et «machines zombies» : questions sur une «désinfection» .

J'en profite pour signaler un premier botnet observé qui utilise la blockchain pour générer les adresses des serveurs C2 : Glupteba Malware Uses Bitcoin Blockchain to Update C2 Domains