La dernière version du botnet Zerobot 1.1, ajoute des exploits supplémentaires et des capacités d'attaque par déni de service distribué (DDoS), étendant sa portée à différents types de terminaux IoT, selon un rapport publié par des chercheurs de l'équipe Security Threat Intelligence de Microsoft ce mercredi. Zerobot, basé sur Go, se propage principalement via les vulnérabilités de l'IoT et des applications Web. C’est un exemple de menace en constante évolution, les opérateurs ajoutant continuellement de nouveaux exploits et capacités au malware. L'équipe de recherche de Microsoft Defender pour l'IoT surveille donc Zerobot (également appelé ZeroStresser par ses opérateurs) depuis des mois. Ce malware est proposé dans le cadre d'un programme malveillant en tant que service et a été mis à jour plusieurs fois depuis que Microsoft a commencé à le suivre. Un domaine avec des liens vers Zerobot faisait partie de plusieurs domaines associés aux services DDoS à louer saisis par le FBI ce 14 décembre.

Microsoft a repéré sept vulnérabilités exploitées par Zerobot, en plus des 21 exploits, tels que Spring4Shell et F5 Big, découverts par Fortinet au début du mois. La version 1.1 du malware exploite des vulnérabilités dans le logiciel de serveur web Apache, le moteur de traitement de données Apache Spark et le fabricant d'équipements de communication Grandstream, entre autres. Le rapport de la firme de Redmond précise qu’en plus des fonctions et des attaques incluses dans les versions précédentes du malware, « Zerobot 1.1 dispose de capacités d'attaque DDoS supplémentaires ». Celles-ci aident les pirates à cibler les ressources et de les rendre inaccessibles. Les attaques par déni de service distribué réussies peuvent être utilisées par des acteurs de la menace pour extorquer des paiements de rançon, détourner l'attention d'autres activités malveillantes ou perturber les opérations, ajoute Microsoft.

De la publicité pour le botnet Zerobot sur les réseaux sociaux

Les chercheurs de Microsoft ont également identifié un exemple pouvant s'exécuter sur Windows basé sur un outil d'administration à distance (RAT) open source multiplateforme (Linux, Windows, MacOS) avec diverses fonctionnalités telles que la gestion des processus, les opérations sur les fichiers, la capture d'écran et l'exécution de commandes. La firme de Redmond indique avoir repéré des publicités pour le botnet Zerobot sur divers réseaux de médias sociaux en plus d'autres annonces concernant la vente et la maintenance du logiciel malveillant, ainsi que des capacités en développement.