La question du gang tente de construire un shell d'unités IoT autour de son botnet de banque
Les opérateurs du cheval de Troie bancaire Emoted ont passé ces deux derniers mois à acquérir des routeurs et des dispositifs IoT afin de créer un cocon autour de leur botnet.
C'est la première fois qu'un logiciel malveillant utilise des routeurs infectés et des périphériques IoT comme points intermédiaires pour la communication entre des ordinateurs infectés et les serveurs de commande et de contrôle (C & C) du logiciel malveillant.
L'idée est qu'un ordinateur Windows infecté par Emote envoie toutes les données transférées depuis des hôtes infectés vers ces routes et les périphériques IoT, qui les transmettent ensuite aux vrais serveurs Emotional C & C. L'inverse est également valable, les groupes Emotet envoyant des commandes aux périphériques intelligents infectés, qui les transmettent aux hôtes infectés.
Ce faisant, le gang Emotet espère dissimuler l'emplacement réel de son infrastructure de ligne de commande et empêcher les chercheurs en sécurité, les hébergeurs et les autorités de supprimer certaines parties de leur botnet.
Routeurs, caméras de sécurité, imprimantes intelligentes
Le gang émotionnel utilise des routeurs piratés et des périphériques IoT à titre de mandataires depuis le mois de mars, en mars, selon des chercheurs en sécurité de Trend Micro, qui ont récemment découvert cette mise à jour dans leur code.
En analysant des exemples passés de programmes malveillants Emoted, ils ont pu extraire les adresses IP de dizaines de routeurs et d'appareils IoT compromis.
La liste contient les adresses IP du tableau de bord Web pour les caméras de sécurité, les routeurs, les serveurs FTP pour les routeurs, les webcams et les panneaux Web pour les imprimantes intelligentes.
Type d'appareil connecté | |
24 | Interface de serveur Web de caméra IP |
3 | Serveur de test de routeur |
4 | routeur |
1 | Routeur serveur FTP |
1 | webcam |
1 | Administration Web pour imprimantes, commutateurs de réseau, etc. |
L’utilisation de réseaux proxy pour masquer le trafic malveillant n’est pas une pratique nouvelle, mais elle n’a jamais été utilisée de la sorte. Les criminels utilisent généralement des réseaux proxy lorsqu'ils se déconnectent de leurs connexions domestiques aux serveurs C & C, pour masquer leur emplacement réel.
Certains groupes criminels utilisent des serveurs proxy entre des hôtes infectés et des serveurs C & C, mais ils utilisent généralement des systèmes proxy stables comprenant des serveurs, des ordinateurs de bureau et des smartphones compromis, qui ont tendance à rester en veille longtemps.
Les réseaux proxy consistent en des routeurs et des périphériques IoT infectés, considérés comme moins stables car très peu de souches de logiciels malveillants IoT (compatibles proxy) peuvent obtenir une amorçabilité sur des hôtes infectés, prenant ainsi en charge la colonne vertébrale du proxy pendant de longues périodes.
Par conséquent, l'utilisation d'un routeur ou de l'adresse IP de l'IoT en tant qu'adresse C & C codée en dur dans des échantillons de programmes malveillants peut entraîner des problèmes lorsque l'IoT est réinitialisé et que les logiciels malveillants sont supprimés de la mémoire.
Cependant, il semble que cela représente un risque que le groupe émotionnel est prêt à prendre pour la cause.
Ce n'est pas non plus le seul truc du groupe. L'année dernière, le groupe Emotional a divisé son réseau de zombies en deux groupes, même dans le but de rendre plus difficile la tâche des policiers, car ils devaient prendre deux réseaux de zombies différents en même temps, au lieu d'un seul.
Globalement, le malware Emoted est de loin le malware le plus complexe et le plus dangereux à l’heure actuelle. Malware utilise des campagnes de spam de grande envergure pour cibler les utilisateurs finaux, peut se déplacer latéralement au sein des réseaux d'entreprise et a été pris au piège des collectes en masse et des emails de victimes armées.
Le groupe des émotions loue également l'accès à son botnet d'hôtes infectés, et il a déjà été démontré que de nombreuses infections par des souches de ransomware Ryuk et LockerGaga sont survenues après que les organisations ont été touchées pour la première fois par Emotium.
Commentaires
Laisser un commentaire