Une nouvelle version du malware MyloBot se dote d’une nouvelle fonction “sextorsion” avec demande de rançon de 2 500 € en Bitcoin. Les malware sont toujours plus sophistiqués, d’autant qu’ils épousent totalement, en 2022, la stratégie de Software-as-a-Service (SaaS). Pour faire simple, plutôt que de développer des malware dans leur coin, les pirates s’organisent, certains développent, améliore et maintiennent des malwares contre rémunération. Tandis que d’autres les utilisent pour commettre leurs activités criminelles.

MyloBot est l’un de ces fameux MaaS (Malware-as-a-Service). Il avait été détecté pour la première fois en 2018 sur des PC Windows. Son signe distinctif ? Dès l’origine, ses concepteurs l’ont doté de nombreux modules pour le rendre plus virulent et favoriser sa propagation et la mise en place d’un botnet. Plus fort encore, il nettoie les machines qu’il infecte pour stopper l’exécution de malware concurrents.

Méfiez-vous de MyloBot, le malware est devenu un expert en sextorsion

En plus de cela il est très fort pour rester sous le radar. Par exemple rien ne se passe dans les 14 premiers jours suivant l’infection. Par la suite, le programme télécharge ses payload et les lance directement dans la mémoire vive, pour passer outre la détection. Le site The Hacker News ajoute qu’il peut créer des processus “creux” dans lesquels il injecte du code malicieux, qui s’exécute ensuite sans déclencher la moindre alarme antivirus.

Le programme lance ensuite la deuxième phase de l’infection : tout faire pour persister dans la machine infectée. Pour cela, il établit une connexion avec des serveurs contrôlés par les pirates pour télécharger le dernier bout de code nécessaire pour lancer l’attaque finale. Car on vous le disait, la vraie spécialité de MyloBot est désormais de vous extorquer de l’argent. Pour cela le malware n’a qu’à analyser votre historique internet. Il peut ensuite afficher des messages d’extorsion, en faisant allusion aux activités de la victime en ligne.

Le message évoque des visites précises sur certains sites pornographiques, puis prétend avoir discrètement capturé un moment compromettant avec la webcam de votre ordinateur. La suite du message menace de partager ladite vidéo avec tous vos contacts, sauf si la victime accepte de payer l’équivalent de 2 500 € en Bitcoin. Selon Minerva Labs, à l’origine de la découverte :

“Les auteurs de ce malware se sont donné beaucoup de mal pour diffuser le malware et le garder sous le radar, avant de l’utiliser comme un outil d’extorsion. Les Botnet sont dangereux précisément à cause des menaces ultérieures qu’ils peuvent installer ou représenter. Il pourrait tout aussi bien passer de ransomware, à un spyware, ver, ou toute autre menace sur tous les ordinateurs infectés”, explique Minerva Labs.

Pour l’heure il n’existe pas d’instruction précise pour éviter ce botnet.

Néanmoins le malware est connu depuis plusieurs années, et devrait être détecter par Avast