Le botnet Gayfemboy, basé sur le célèbre virus Mirai, se propage actuellement dans le monde. En exploitant plus de 20 failles de sécurité béantes, le logiciel malveillant est parvenu à prendre le contrôle de milliers d’appareils, dont des routeurs. Il s’en sert pour lancer des cyberattaques bréves, mais puissantes.
Les chercheurs de Chainxin X Lab ont découvert un nouveau botnet, baptisé Gayfemboy, en cours de propagation intensive. Le malware cible essentiellement les routeurs et les appareils connectés.
Parmi les cibles privilégiées du botnet, on trouve les routeurs des marques Four-Faith, Neterbit ou les objets connectés orientés domotique et maison intelligente de Vimar. Les cibles comprennent aussi des routeurs Asus, LB-Link, ou Huawei.
À lire aussi : Un botnet chinois a infecté plus de 260 000 appareils depuis 2020
Des failles zéro day exploitées
Afin de prendre le contrôle de ces appareils, le botnet exploite des failles de sécurité de type zéro day. Il s’agit de vulnérabilités qui n’ont pas encore été découvertes, et encore moins corrigées par les développeurs. C’est une aubaine pour les cybercriminels. Selon les experts, Gayfemboy s’appuie sur plus de 20 vulnérabilités différentes.
Les hackers exploitant notamment une vulnérabilité qui a finalement été découverte le mois dernier, bien après que le botnet a commencé à s’en servir. Cette faille permet aux attaquants d’exploiter les identifiants par défaut du routeur pour exécuter des commandes à distance sans la moindre authentification. De facto, ils prennent le contrôle total du routeur. Aux dernières nouvelles, cette vulnérabilité touche plus de 15 000 routeurs Four-Faith.
Une variante du botnet Mirai
Le botnet Gayfemboy est basé sur le code source de Mirai, un redoutable logiciel malveillant épinglé pour la toute première fois en 2016. Aux origines, il ciblait principalement les appareils IoT (Internet des objets), comme les caméras connectées, les routeurs, et autres dispositifs intelligents, en s’appuyant sur des identifiants par défaut ou des mots de passe faibles. Il est connu pour effacer les logiciels malveillants concurrents sur les appareils infectés pour monopoliser toutes les ressources.
Le code source a été rapidement rendu public par ses créateurs, ce qui a permis à d’autres cybercriminels de le modifier et de créer des variantes redoutables, comme Mozi, Okiru, ou encore Satori.
Actif depuis le début de l’année dernière, le botnet Gayfemboy est surtout actif en Chine, aux États-Unis, en Russie, en Turquie et en Iran. Le réseau comprend actuellement 15 000 dispositifs infectés, éparpillés dans ces différents pays. Il se propage par vagues intermittentes.
Ce n’est pas la seule variante de Mirai en train de se propager dans le monde. Il y a quelques jours, les chercheurs en cybersécurité de Fortinet ont identifié une nette augmentation des infections réalisées par Ficora, une autre version de Mirai spécialement conçue pour tirer parti des vulnérabilités des routeurs de la marque D-Link.
Le point de départ d’attaques DDoS
En miroir de Ficora, le nouveau botnet épinglé par Chainxin X Lab se sert des appareils compromis pour orchestrer des attaques de type DDoS (pour Distributed Denial of Service, ou déni de service distribué en français). Par le biais du réseau de terminaux piratés, le botnet va inonder les serveurs du site web visé avec une montagne de requêtes. Cette vague de requêtes va temporairement paralyser le site ciblé.
En règle générale, les attaques du botnet Gayfemboy ne durent pas longtemps. Elles n’excèdent pas 30 secondes, mais elles sont particulièrement puissantes. Les serveurs les plus robustes risquent de vaciller sous les assauts du réseau pirate. Les victimes se trouvent surtout en Chine, aux États-Unis, en Allemagne, au Royaume-Uni et à Singapour, et font partie de secteurs variés.
Tous les jours, le réseau d’appareils compromis par Gayfemboy s’attaque à des centaines d’entités différentes, indique le rapport de Chainxin X Lab. Le nombre d’offensives a surtout explosé entre les mois d’octobre et de novembre 2024.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Chainxin X Lab