Le botnet basé sur Baby Golang rapporte déjà 2 000 euros par mois aux pirates

Arrivé comme un nouveau-né, le botnet Kraken s'est déjà propagé comme une traînée de poudre au cours des derniers mois, ajoutant plus de voleurs d'informations et de portes dérobées. Sur tous les systèmes Windows et Windows serveur.

Il existe un nouveau botnet fondé sur Golang, encore en développement, appelé Kraken, avec un niveau de force qui dément sa jeunesse : il utilise le chargeur de logiciels malveillants "SmokeLoader**" pour se propager comme une traînée de poudre et rapporte déjà 2 000 euros par mois pour ses opérateurs, rapportent des chercheurs. Bien que son nom puisse sembler familier, Kraken n'a pas grand-chose à voir avec le botnet du même nom de 2008.

En utilisant "SmokeLoader* "pour installer encore plus de logiciels malveillants sur des machines ciblées, Kraken retrouve des centaines de nouveaux bots chaque fois qu'un nouveau serveur de commande et de contrôle (C2) est déployé.

Au départ, nous sommes tombés sur un botnet jusqu'alors inconnu, qui était encore en développement actif, fin décembre 2021. Même s'il était encore en cours de développement, il avait déjà la capacité de siphonner des données sensibles des hôtes Windows, pouvant télécharger et exécuter des charges utiles secondaires, exécuter des commandes shell et prendre des captures d'écran du système de la victime.

Simple, mais multi-tentaculaires.

le C2 a été nommé "Kraken Panel". Il paraissait encore maigre en fonctionnalités. Il offrait des statistiques de base, des liens pour télécharger des charges utiles, une option pour télécharger de nouvelles charges utiles et un moyen d'interagir avec un nombre spécifique de bots.

Mais, la version actuelle du panneau C2 de Kraken (voir ci dessous) a été entièrement repensée et renommée Anubis. Le panneau Anubis fournit beaucoup plus d'informations au(x) pirate(s) que le panneau Kraken d'origine. Il est désormais possible de consulter l'historique des commandes et des informations sur la victime.

Le panel du bot kraken 

Saisir la crypto-monnaie

L'auteur de Kraken a bricolé, ajouté et supprimé des capacités. À ce stade, Kraken peut maintenir la persistance, collecter des informations sur l'hôte. De plus, il est capable de télécharger et d'exécuter des fichiers, d'exécuter des commandes shell,  de prendre des captures d'écran et voler divers portefeuilles de crypto-monnaie, notamment Zcash, Armory, Atomic, Bytecoin, Electrum, Ethereum, Exodus, Guarda and Jaxx Liberty.

Avec une direction très claire

Voici nos recommandations pour empêcher Kraken de dévorer vos systèmes :

  1. Assurez-vous que le logiciel antivirus et de détection d'intrusion est à jour avec tous les correctifs et ensembles de règles,
  2. Activez l'authentification à deux facteurs pour tous les comptes d'entreprise afin d'atténuer les attaques de phishing et de credential stuffing,
  3. Maintenez des routines de sauvegarde planifiées régulièrement, y compris le stockage hors site et les contrôles d'intégrité,
  4. Évitez d'ouvrir des pièces jointes non sollicitées et ne cliquez jamais sur des liens suspects,
  5. Enregistrez et surveillez toutes les actions administratives autant que possible. Alertez sur toute activité suspecte,
  6. Examinez les journaux réseau pour détecter d'éventuels signes de compromission et de sortie de données.

Webmaster-Alsace prévois une campagne de sensibilisation en matière de cybersécurité pour les petites entreprises. Cela reste à ce jour le seul moyen de restreindre les activités malveillantes en ne transformant pas votre ordinateur en robot malveillant.

*La famille "SmokeLoader" est une porte dérobée générique avec une gamme de fonctionnalités monumentales. Le logiciel malveillant est diffusé de diverses manières et est largement associé à des activités criminelles.