MyLoBot, malware d’un nouveau genre [Sponso]

L’ingéniosité des cybercriminels n’a pas de limite et la technicité de leurs attaques ne cesse de s’amplifier. Preuve en est MyLoBot, un nouveau malware qui multiplie les techniques d’évasion pour échapper à la fois aux antivirus, mais aussi à la plupart des outils de détection automatisés. 

Une rare sophistication

Ce qui est surprenant avec MyLoBot, c’est qu’il est en quelque sorte un état de l’art des malwares à lui tout seul. On y retrouve toutes les stratégies d’évasion dans un même code malveillant :

  • Il échappe aux analyses des laboratoires grâce à ses multiples techniques anti-VM (anti machines virtuelles), anti-sandbox et anti-debugging.
  • Il éteint certaines protections de Windows comme Windows Defender et Windows Update.
  • Il se masque aux regards des antivirus et des analystes en cachant ses différents modules au sein d’un fichier de ressources chiffré.
  • Il utilise des techniques extrêmement avancées comme l’injection de code ou le Process Hollowing (une technique qui consiste à générer un nouveau processus en mémoire dans un état suspendu puis à remplacer son image par le code malveillant que l’on veut cacher).
  • Il exploite la technique d’attaque sans fichier connue sous le nom de « Reflective EXE » pour exécuter du code malveillant directement en mémoire sans avoir à créer un fichier EXE sur le disque. Rares sont les antivirus à savoir contrer ce style d’attaques.
  • Il échappe aux radars de détection en attendant 14 jours après son installation avant d’accéder à son centre de commande (serveur C&C) et recevoir ses ordres malveillants.

Il tue aussi la concurrence 

Il est fréquent de rencontrer des malwares utilisant une ou deux de ces techniques. Mais c’est la première qu’un code malveillant les combine toutes en même temps. Pourtant MyLoBot n’est au final qu’un « downloader », autrement dit un outil qui semble inoffensif, mais qui attend un ordre pour ensuite réaliser une action malveillante ou télécharger un dangereux malware. Il enrôle le PC au sein d’un Botnet que d’autres cybercriminels peuvent « louer » pour mener des attaques par déni de service (DDoS), diffuser des ransomwares, envoyer des campagnes de Phishing, etc. En outre MyLoBot s’assure qu’aucun autre botnet n’est actif sur la machine infectée et les « tue » si c’est le cas, rappelant au passage que la cybercriminalité est aussi un marché compétitif où tout est question d’argent et où tout est bon pour éradiquer la concurrence.

Vous avez besoin d’une protection intelligente

Certes, malgré toutes ces techniques d’évasion, le malware a fini par être repéré par les chercheurs en cybersécurité. La vigilance et l’ingéniosité humaines ont cette fois eu le dessus sur les analyses automatisées. Mais sa découverte vient rappeler à tous que face à de tels malwares, un simple antivirus ne suffit pas. Il faut pouvoir bénéficier d’une protection plus évoluée qui analyse véritablement le comportement des malwares et qui limite les capacités d’action des codes inconnus. C’est typiquement le cas de suites de sécurité comme Kaspersky Total Security ou Kaspersky Internet Security. Elles multiplient les boucliers défensifs, sont capables de détecter les attaques sans fichier et réalisent une surveillance précise de tout ce qui s’exécute sur la machine. Non seulement l’ordinateur se blinde pour interdire toute exécution de programmes non reconnus comme sûrs par Kaspersky Lab (fonction « Mode applications de confiance), mais son bouclier de « contrôle des applications » s’assure également que des codes non certifiés comme sains se voient interdire l’accès au système et aux dossiers de l’utilisateur lorsque le mode « confiance » n’est pas activé.

Et en ce moment, b
énéficiez en exclusivité d'une remise jusqu'à 42% sur Kaspersky Total Security. Pour cela, veuillez remplir le formulaire suivant qui vous permettra de recevoir votre code promo par mail :

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
1 commentaire
Commenter depuis le forum