Les botnets – des réseaux de machines infectées (des « zombies ») afin de perpétrer des activités criminelles – sont pilotés par des individus malveillants dans le but de propager des malwares et de faciliter des attaques par déni de service (DDoS) et spam. A l’aide de la technologie Botnet Tracking de Kaspersky Lab, les chercheurs de la société surveillent continuellement l’activité des botnets en vue de prévenir de futures attaques ou de tuer dans l’œuf un nouveau type de cheval de Troie bancaire.

Le principe de cette technologie consiste à émuler une machine infectée et à intercepter les commandes reçues d’acteurs malveillants qui se servent des botnets pour diffuser des malwares. Les chercheurs obtiennent ainsi de précieux échantillons de ces malwares, de même que des statistiques essentielles.

Les malwares monofonctions diffusés par des botnets en profond recul…

D’après les résultats des études récentes, au premier semestre 2018, la part des malwares monofonctions diffusés par des botnets a chuté fortement comparée au second semestre 2017. Par exemple, au semestre dernier, 22,46 % de l’ensemble des fichiers malveillants propagés par les botnets surveillés par Kaspersky Lab étaient des chevaux de Troie bancaires, alors qu’au premier semestre 2018, la proportion de ceux-ci a reculé de 9,21 points de pourcentage, pour ne plus représenter que 13,25 % de tous les fichiers malveillants observés par le service Botnet Tracking.

La part de zombies émetteurs de spam – un autre type de logiciel malveillant monofonction diffusé par les botnets – a elle aussi nettement baissé, passant de 18,93 % au second semestre 2017 à 12,23 % au premier semestre 2018. Les zombies lançant des attaques DDoS, autre exemple typique de malware monofonction, régressent également, de 2,66 % à 1,99 % au cours de la même période.

… au profit des malwares à caractère polyvalent

Dans le même temps, la progression la plus nette a concerné les malwares à caractère polyvalent, en particulier de type RAT (Remote Access Tool), offrant des possibilités quasi illimitées pour exploiter à distance un PC infecté. Depuis le premier semestre 2017, la proportion des fichiers RAT figurant parmi les malwares propagés par des botnets a presque doublé, passant de 6,55 % à 12,22 %. Njrat, DarkComet et Nanocore viennent en tête de liste des RAT les plus répandus. En raison de leur structure relativement simple, ces trois backdoors peuvent même être modifiés par des amateurs, en vue de leur adaptation à une diffusion dans une zone géographique spécifique.

Les chevaux de Troie, eux aussi également utilisés à diverses fins, n’affichent pas une progression comparable aux RAT mais, à la différence de nombreux malwares monofonctions, leur part dans les fichiers détectés a augmenté, passant de 32,89 % au second semestre 2017 à 34,25 % au premier semestre 2018. A l’instar des backdoors, il est possible de modifier une famille de chevaux de Troie et de les piloter au moyen de plusieurs serveurs de commande et contrôle (C&C), remplissant chacun un rôle distinct, par exemple pour se livrer à du cyberespionnage ou au vol d’identifiants.

« La raison pour laquelle les RAT et autres malwares multifonctions deviennent prédominants dans les botnets est évidente : l’exploitation des botnets coûte cher et, pour réaliser des bénéfices, les criminels doivent pouvoir utiliser chaque opportunité de tirer profit des malwares. Un botnet reposant sur des malwares multifonctions peut modifier ses fonctions relativement vite et passer de l’envoi de spam au lancement d’attaques DDoS ou à la diffusion de chevaux de Troie bancaires. Tandis que cette capacité en soi permet à l’exploitant d’un botnet d’alterner entre différents modèles économiques malveillants “actifs”, elle offre aussi la possibilité d’un revenu passif : il suffit pour cela au propriétaire de louer son botnet à d’autres criminels », commente Alexander Eremin, expert en sécurité chez Kaspersky Lab.

Les mineurs de cryptomonnaie continuent de croitre de manière impressionnante

Les seuls programmes malveillants monofonctions à présenter une progression impressionnante au sein des botnets sont les mineurs de cryptomonnaie. Même si leur pourcentage de fichiers répertoriés n’est pas comparable aux malwares multifonctions les plus répandus, leur part a doublé, ce qui confirme la tendance générale à une explosion des logiciels malveillants de minage, décrite précédemment par nos experts.

Afin de réduire le risque de voir leurs machines enrôlées dans un botnet, nous conseillons aux utilisateurs de prendre les précautions suivantes :

• Appliquer les correctifs aux logiciels présent sur votre PC dès que les mises à jour de sécurité portant sur les vulnérabilités les plus récentes sont disponibles. Les machines non mises à jour risquent d’être exploitées par des cybercriminels et de se retrouver connectées à un botnet.
• Ne pas télécharger de logiciels piratés ni d’autres contenus illicites, car ceux-ci servent souvent à la propagation de programmes malveillants.
• Installer Kaspersky Internet Security afin de prévenir une infection de votre ordinateur par tout type de malwares, notamment ceux intervenant dans la création des botnets.