Botnet Smominru : fonctionnement de ce terrible logiciel malveillant

7 Oct 2019

Selon une étude disponible publiquement, le botnet Smominru, actif depuis 2017, est devenu l’un des logiciels malveillants les plus rapides à se répandre sur les ordinateurs. En 2019, seulement au cours du mois d’août, il a infecté 90 000 ordinateurs à travers le monde, avec une moyenne de plus de 4 700 infections par jour. La majorité des attaques ont eu lieu en Chine, à Taïwan, en Russie, au Brésil et aux États-Unis. Cependant, ce logiciel malveillant a d’autres pays en ligne de mire, comme par exemple l’Italie, où Smominru a infecté 65 serveurs, ce qui représente le plus grand réseau.

Le botnet Smominru utilise l'exploit EternalBlue pour attaquer les systèmes Windows qui n'ont pas été mis à jour

Comment le botnet Smominru se propage

Les cybercriminels impliqués ne sont pas exigeants lorsqu’il s’agit de choisir leurs victimes, puisque cette attaque en ligne touche autant les étudiants que les professionnels de santé. Toutefois, il y a un détail important à prendre en compte : environ 85 % des infections provoquées par ce logiciel malveillant ont touché les systèmes Windows 7 et Windows Server 2008. Le pourcentage restant inclut Windows Server 2012, Windows XP et Windows Server 2003.
Près d’un quart des appareils ont de nouveau été infectés après que les utilisateurs aient supprimé le botnet Smominru. En d’autres termes, certaines victimes ont nettoyé leur système mais ignoraient l’origine de l’infection.
Ceci nous pousse à nous demander quelle est la principale raison. À vrai dire, le botnet utilise plusieurs méthodes de propagation. Cependant, il infecte principalement les systèmes de l’une de ces deux façons : soit en forçant les informations d’identification faibles des différents services Windows, soit, plus communément, en se servant du tristement célèbre exploit EternalBlue.
Bien que Microsoft ait corrigé la vulnérabilité des exploits EternalBlue, qui ont permis les épidémies WannaCry et NotPetya en 2017, et ce même sur les systèmes qui ne sont plus fabriqués, de nombreuses entreprises ignorent tout simplement les mises à jour.

Le botnet Smominru en action

Après avoir corrompu le système, le logiciel malveillant Smominru crée un nouvel utilisateur qui possède les privilèges administrateur, appelé admin$, puis télécharge toute une série de charges utiles malveillantes. L’objectif principal de cette cyberattaque est de discrètement utiliser les ordinateurs infectés pour miner de la cryptomonnaie (dans ce cas, Monero) aux frais de la victime.

Ce n’est pas tout : le logiciel malveillant télécharge également une série de modules dans le but d’espionner l’utilisateur, d’exfiltrer des données et de voler des informations d’identification. En plus de tout cela, lorsque Smominru gagne du terrain, il tente de se répandre dans le réseau pour infecter le plus de systèmes possible.

Il y a un détail intéressant qu’il convient de mentionner : le botnet Smominru est intensément compétitif et détruit tout rival présent sur l’ordinateur infecté. Cela veut dire que non seulement il désactive et bloque toutes les autres activités malveillantes fonctionnant sur le dispositif visé, mais qu’il empêche aussi les compétiteurs d’infecter le système sur lequel il est déjà présent.

Infrastructure de l’attaque

Le botnet repose sur un peu plus de 20 serveurs spécialisés, principalement situés aux États-Unis, bien que certains soient hébergés en Malaisie et en Bulgarie. L’infrastructure de la cyberattaque Smominru est amplement répandue, complexe et très flexible, ce qui complique sa mise hors service. Le botnet sera donc actif pendant un certain temps.

Voici comment protéger votre réseau, votre ordinateur et vos données du logiciel malveillant Smominru :
– Mettez régulièrement à jour vos systèmes d’exploitation et autres logiciels.
– Utilisez des mots de passe forts. Un administrateur de mots de passe fiable vous aide à créer, gérer, récupérer et entrer automatiquement votre mot de passe. Cela vous protégera des attaques par force brute.
– Utilisez une solution de sécurité fiable.