Le botnet Mirai s’en prend maintenant aux systèmes Windows

2
158

Mirai est probablement la plus grande e-menace actuelle provenant de l’IOT et qui a causé d’énormes dégâts sur le Net depuis l’année dernière. Visant tout d’abord les systèmes Linux embarqués dans les objets connectés, voila que le menace s’alourdie via la découverte d’un trojan ciblant les machines sous Windows.

Mirai tente t-il d’amplifier encore sa distribution et sa puissance ? Des chercheurs en sécurité de la firme russe de cybersécurité Dr.Web viennent de découvrir un cheval de Troie sous Windows conçu pour étendre Mirai à d’autres périphériques et le rendre ainsi plus puissant entre les mains des cybercriminels.

Mirai est un logiciel malveillant conçu à la base pour les périphériques de l’Internet des Objets (IoT) basés sur Linux ayant des faiblesse de sécurité. Une fois sous contrôle, ces derniers rejoignent l’immense réseau botnet Mirai et permettent de lancer de violentes attaques DDoS (déni de service distribué) vers des cibles. Le tout s’est amplifié après la publication sauvage du code source de Mirai en octobre dernier…

Surnommé Trojan.Mirai.1, le nouveau cheval de Troie cible désormais les ordinateurs sous Windows et analyse le réseau de l’utilisateur pour découvrir et infecter les périphériques connectés Linux compatibles (caméras de surveillances, NAS, routeurs, etc).
Une fois installé sur un ordinateur Windows, le cheval de Troie se connecte à un serveur de commande et de contrôle (C&C) à partir duquel il télécharge un fichier de configuration contenant une plage d’adresses IP pour tenter l’authentification sur plusieurs ports tels que 22 (SSH) et 23 (Telnet ), 135, 445, 1433, 3306 et 3389.
Une authentification réussie permet au logiciel malveillant d’exécuter certaines commandes spécifiées dans le fichier de configuration, selon le type de système compromis.

Dans le cas des systèmes Linux accessibles via le protocole Telnet, le cheval de Troie télécharge un fichier binaire sur le périphérique compromis, qui télécharge ensuite et lance Linux.Mirai.

Le scanner embarqué dans Trojan.Mirai.1 peut vérifier simultanément plusieurs ports TCP. Si le cheval de Troie se connecte avec succès au nœud attaqué par l’un des protocoles disponibles, il exécute alors la séquence indiquée de commandes“, expliquent les chercheurs.

Ce nouveau malware agit en fait comme un relais vers d’autres cibles : Une fois un système compromis, le cheval de Troie peut se propager à d’autres périphériques Windows, aidant les pirates à détourner encore plus de périphériques. En outre, les chercheurs ont noté que le logiciel malveillant pourrait également identifier et compromettre les services de base de données s’exécutant sur différents ports, y compris MySQL et Microsoft SQL pour créer un nouvel administrateur baptisé “phpminds” avec le mot de passe “phpgodwith” permettant aux pirates de voler la base de données. Un petit bonus en somme.

Actuellement, aucune trace n’indique qui pourrait être à l’origine de cette version de mirai pour Windows. Mais sa conception malicieuse démontre que même un périphérique non connecté directement à Internet peut être quand même infecté par un malware, tout comme le réseau interne. Désormais connu et identifié, il faudra voir dans le futur si il contribuera à augmenter l’ampleur du botnet Mirai ou s’il n’aura que peu d’impact au final…

Les commentaires sont fermés.