« Botnet » est une contraction des termes « robot » et « network » (réseau). Les cyber-criminels utilisent des chevaux de Troie spéciaux pour violer la sécurité des ordinateurs de différents utilisateurs, prendre le contrôle de chacun de ces ordinateurs infectés et les regrouper au sein d'un réseau de « bots » gérables à distance.

Repéré pour la première fois en octobre 2021 par les chercheurs de ZeroFox qui l'ont surnommé Kraken, ce botnet inconnu jusqu'alors utilise la porte dérobée SmokeLoader et un outil de téléchargement de logiciels malveillants pour se propager vers de nouveaux systèmes Windows.

Après avoir infecté un nouveau périphérique Windows, le botnet ajoute une nouvelle clé de registre pour assurer la persistance entre les redémarrages du système. Il ajoute également une exclusion Microsoft Defender pour s'assurer que son répertoire d'installation ne sera jamais analysé et cache son binaire dans l'Explorateur Windows à l'aide de l'attribut 'hidden'.

Kraken possède un ensemble de fonctionnalités limité et simpliste, permettant aux attaquants de télécharger et d'exécuter des charges utiles malveillantes supplémentaires sur les appareils compromis, notamment le malware RedLine Stealer.

RedLine est actuellement le voleur d'informations le plus largement déployé, capable de récolter les mots de passe, les cookies de navigateur, les informations de carte de crédit et les informations de portefeuille de crypto-monnaies des victimes. Selon ZeroFox, Kraken peut voler des informations dans les portefeuilles de crypto-monnaies Zcash, Armory, Bytecoin, Electrum, Ethereum, Exodus, Guarda, Atomic et Jaxx Liberty.

"En cours de développement, les C2 de Kraken semblent disparaître souvent. ZeroFox a observé une activité décroissante pour un serveur à de multiples occasions, pour qu'un autre apparaisse peu de temps après en utilisant soit un nouveau port, soit une toute nouvelle IP", ajoutent les chercheurs.

Source : BleepingComputer