Des chercheurs distinguent le botnet hybride Enemybot exposant de vrais dangers

Une équipe de chercheurs de la société de sécurité FortiGuard a récemment publié un article de blog détaillant un nouveau malware de botnet. Le botnet est principalement axé sur la diffusion d'attaques par déni de service distribuées et s'appelle Enemybot.

Enemybot est un mélange de Mirai et Gafgyt

Selon FortiGuard, Enemybot est en quelque sorte un mutant, empruntant du code et des modules à la fois au tristement célèbre botnet Mirai et au botnet Bashlite ou Gafgyt, avec plus emprunté à ce dernier. Le fait que ces deux familles de botnets aient leur code source disponible en ligne permet aux nouveaux acteurs de la menace de reprendre facilement le flambeau, de mélanger et assortir et de produire leur propre version, un peu comme Enemybot.

Le nouveau malware Enemybot est associé à l'acteur menaçant Keksec - une entité connue principalement pour avoir réussi les précédentes attaques par déni de service distribué (DDoS). Le nouveau malware a été repéré par FortiGuard lors d'attaques ciblant le matériel de routeur du fabricant coréen Seowon Intech, ainsi que les routeurs D-Link les plus populaires. Les appareils Android mal configurés sont également susceptibles d'être attaqués par les logiciels malveillants.

Les vrais dangers d'Enemybot ont été exposés. Pour compromettre les appareils ciblés, Enemybot recourt à un large éventail d'exploits et de vulnérabilités connus, y compris le plus chaud de l'année dernière - Log4j.

Enemybot cible une large gamme d'appareils

Le malware déploie un fichier dans le répertoire /tmp, avec l'extension .pwned. Le fichier .pwned contient un simple message texte, narguant la victime et communiquant qui sont les auteurs, dans ce cas - Keksec.

Le botnet Enemybot cible presque toutes les architectures de puces auxquelles vous pouvez penser, des différentes versions d'arm aux standards x64 et x86, en passant par bsd et spc.

Une fois déployée, la charge utile du botnet télécharge les fichiers binaires à partir du serveur C2, et les fichiers binaires sont utilisés pour exécuter des commandes DDoS. Le logiciel malveillant a également un niveau d'obscurcissement, y compris le fait que son serveur C2 utilise un domaine .onion.

FortiGuard pense que le logiciel malveillant est toujours activement travaillé et amélioré, peut-être par plus d'un groupe d'acteurs menaçants, en raison de changements détectés dans différentes versions du message de fichier .pwned.