Les logiciels malveillants DDoS IRC Bot se propagent via les plates-formes coréennes WebHard

DDoS IRC Bot Malware Spreading Through Korean WebHard Platforms Des nouvelles

Une CRI (Internet Relay Chat) La souche de bot programmée dans GoLang est utilisée pour lancer des attaques par déni de service distribué (DDoS) ciblant les utilisateurs en Corée.

« Le malware est distribué sous le couvert de jeux pour adultes », ont déclaré des chercheurs du Security Emergency-response Center (ASEC) d’AhnLab. mentionné dans un nouveau rapport publié mercredi. « De plus, le malware DDoS a été installé via un téléchargeur et RAT UDP a été utilisé. »

L’attaque fonctionne en téléchargeant les jeux contenant des logiciels malveillants sur des disques Web, qui font référence à un disque dur Web ou à un service d’hébergement de fichiers distant, sous la forme d’archives ZIP compressées qui, une fois ouvertes, incluent un exécutable (« Game_Open.exe ») qui est orchestré pour exécuter une charge utile de malware en plus du lancement du jeu réel.

Bot malveillant DDoS IRC

Cette charge utile, un téléchargeur basé sur GoLang, établit des connexions avec un serveur de commande et de contrôle (C&C) à distance pour récupérer des logiciels malveillants supplémentaires, y compris un bot IRC qui peut effectuer des attaques DDoS.

Bot malveillant DDoS IRC

« C’est aussi un type de malware DDoS Bot, mais il utilise des protocoles IRC pour communiquer avec le serveur C&C », ont détaillé les chercheurs. « Contrairement à UDP Rat qui ne prenait en charge que les attaques UDP Flooding, il peut également prendre en charge des attaques telles que Slowloris, Goldeneye et Hulk DDoS. »

Les faibles difficultés de développement de GoLang et sa prise en charge multiplateforme ont fait du langage de programmation un choix populaire pour les acteurs de la menace, ont ajouté les chercheurs.

« Le malware est distribué activement via des sites Web de partage de fichiers tels que les webhards coréens », a déclaré AhnLab. « En tant que tel, la prudence est recommandée à l’approche des exécutables téléchargés à partir d’un site Web de partage de fichiers. Il est recommandé[ed] permettant aux utilisateurs de télécharger des produits à partir des sites Web officiels des développeurs. »

David
Rate author
Hackarizona