MyloBot et sextorsion

Liste des rogues, faux-antispywares, phising, hoax etc.. et autres arnaques en tout genre sur internet.
Avatar de l’utilisateur
Parisien_entraide
Messages : 12061
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

MyloBot et sextorsion

par Parisien_entraide »

tren mulog.jpg



MyloBot



Divers articles sur le net récemment font état de Mylobot comme particulièrement dangereux (Trend Micro, blog.minerva-labs.com, hacker news etc)
Dans l'absolu il l'est, ne serait ce que parce qu'il agit comme un conduit pour d’autres botnets et types de logiciels malveillants (c'est un couteau Suisse), mais ce n'est qu'un variant de la version 2018, qui était détecté par les principaux anti virus du top 3 (sauf Defender visiblement)
Donc QUID de sa détection en 2022 ? Est il répandu ? (on ne sait)

En 2018 la méthode de déploiement du malware était inconnue et en 2022 il n'en n'est toujours pas fait état..
Néanmoins des sites X vérolés (injection .js) en sont surement la cause pour ce variant, et les cracks tout autant

Au delà de cela si vous étiez déjà infecté par un Malware, c'est l'outil idéal car il fera le ménage pour vous, mieux que votre Anti virus ou d'autres outils
Je plaisante mais c'est un des aspects de la chose


MyloBot , détecté pour la première fois en 2018, est connu pour présenter un éventail de capacités anti-débogage et de techniques de propagation sophistiquées pour lier les machines infectées à un botnet, sans parler de supprimer les traces d'autres logiciels malveillants concurrents des systèmes.

En plus de cela il est très fort pour rester sous le radar. Par exemple rien ne se passe dans les 14 premiers jours suivant l’infection.

Par la suite, le programme télécharge ses payload et les lance directement dans la mémoire vive, pour passer outre la détection.
Le site The Hacker News ajoute qu’il peut créer des processus “creux” dans lesquels il injecte du code malicieux, qui s’exécute ensuite sans déclencher la moindre alarme antivirus.

Il permet aux attaquants de prendre le contrôle total de la machine infectée, leur permettant d'ajouter des charges utiles à d'autres fins telles que les chevaux de Troie bancaires, les enregistreurs de frappe et l'utilisation du déni de service distribué (DDoS) .

MyloBot arrête Windows Defender et Windows Update lors de l'installation et bloque le pare-feu pour un déploiement et une communication sans entrave avec le C&C

Le programme lance ensuite la deuxième phase de l’infection : tout faire pour persister dans la machine infectée.
Pour cela, il établit une connexion avec des serveurs contrôlés par les pirates pour télécharger le dernier bout de code nécessaire pour lancer l’attaque finale.

La vraie spécialité de MyloBot est désormais de vous extorquer de l’argent.

Pour cela le malware n’a qu’à analyser votre historique internet.
Il peut ensuite afficher des messages d’extorsion, en faisant allusion aux activités de la victime en ligne.

Le message évoque des visites précises sur certains sites pornographiques, puis prétend avoir discrètement capturé un moment compromettant avec la webcam de votre ordinateur.

La suite du message menace de partager ladite vidéo avec tous vos contacts, sauf si la victime accepte de payer l’équivalent de 2 500 € en Bitcoin. Selon Minerva Labs, à l’origine de la découverte :

Pour l’heure il n’existe pas d’instruction précise pour éviter ce botnet.

Du reste il n'a pas beaucoup évolué depuis 2018
Plusieurs techniques Anti – Debugging et Anti – VM ont disparu, et plus, des techniques d'injection sont maintenant mises en œuvre mais, finalement, la charge utile de deuxième étape téléchargée depuis le serveur C&C est utilisée pour envoyer des e-mails d'extorsion



Pour résumer il dispose de :
- Capacités anti-VM
- Capacités anti-sandbox
- Capacités anti-débogage
- Reflective EXE, une technique peu courante qui exécute les fichiers EXE à partir de la mémoire et non sur le disque
- Processus d'évidement (Process Hollowing) https://attack.mitre.org/techniques/T1055/012/
- Injection de codes
- D'un délai de 14 jours pour commander et contrôler la communication (C&C) pour l'évasion, comme la chasse aux menaces, le sandboxing et la détection des terminaux

Bien que les chercheurs n'aient pas encore identifié la source de l'infection et la paternité, le malware dispose de techniques d'analyse de la disposition du clavier qui lui permettent d'arrêter la routine d'attaque s'il trouve une configuration de caractères asiatiques particulière.
(non nommés)


Le contenu de l'e-mail est (un exemple) :


____________________________
Je sais que le michigan est l'un de vos mots de passe le jour du piratage.
Allons droit au but.

Pas une seule personne ne m'a payé pour vérifier votre sort.

Vous ne me connaissez pas et vous vous demandez probablement pourquoi vous recevez cet e-mail ?
En fait, j'ai placé un logiciel malveillant sur le site Web de vidéos pour adultes (porno pour adultes) et vous savez quoi, vous avez visité ce site pour vous amuser (vous voyez ce que je veux dire).

Lorsque vous regardiez des vidéos, votre navigateur a commencé à fonctionner comme un RDP avec un enregistreur de frappe qui m'a permis d'accéder à votre écran et à votre webcam.

immédiatement après cela, mon logiciel malveillant a obtenu chacun de vos contacts depuis votre Messenger, FB, ainsi que votre compte de messagerie.

Après cela, j'ai créé une vidéo en double écran.
La 1ère partie montre la vidéo que vous regardiez (vous avez un bon goût omg), et la 2ème partie affiche l'enregistrement de votre cam, et c'est vous.

La meilleure solution serait de me payer 2732 $.

Nous allons parler de don. dans cette situation, je supprimerai très certainement votre vidéo sans délai.

Mon adresse BTC : 14JuDQdSEQtFq7SkFHGJackAxneY9ixAUM

[cas SENSIBLE, copiez-le et collez-le]

Vous pourriez continuer votre vie comme si cela ne s'était jamais produit et vous n'entendrez plus jamais parler de moi.

Vous effectuerez le paiement via Bitcoin (si vous ne le savez pas, recherchez "comment acheter du bitcoin" dans Google).

Si vous envisagez d'aller à la justice, sûrement, cet e-mail ne peut pas être retracé jusqu'à moi, car il est piraté aussi.

J'ai pris soin de mes actions. je ne cherche pas à vous demander beaucoup, je veux simplement être payé.

si je ne reçois pas le bitcoin, j'enverrai certainement votre enregistrement vidéo à tous vos contacts, y compris vos amis et votre famille, vos collègues, etc.

Néanmoins, si je suis payé, je détruirai l'enregistrement immédiatement.

Si vous avez besoin d'une preuve, répondez par Oui, j'enverrai votre enregistrement vidéo à vos amis.

c'est une offre non négociable et donc s'il vous plaît ne perdez pas mon temps et le vôtre en répondant à ce message.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... was possible !
- Un problème sans solution est un problème mal posé. » (Albert Einstein)
- "Tous les patients mentent" (Docteur House)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes

Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »