Un Botnet qui contrôle les comptes Gmail, Outlook et Yahoo!

La nouvelle campagne Horabot prend le contrôle des comptes Gmail et Outlook de la victime. Une campagne auparavant inconnue impliquant le malware Horabot botnet a ciblé les utilisateurs hispanophones d’Amérique latine depuis au moins novembre 2020, les infectant avec un cheval de Troie bancaire et un outil de spam. Le logiciel malveillant permet aux opérateurs de prendre le contrôle des comptes de messagerie Gmail, Outlook, Hotmail ou Yahoo de la victime, de voler les données de messagerie et les codes 2FA arrivant dans la boîte de réception et d’envoyer des e-mails de phishing à partir des comptes compromis. (Sources)

Un botnet (de l'anglais, contraction de « robot » et « réseau ») est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d'autres programmes similaires pour l'exécution de certaines tâches.  Historiquement, botnet désignait des réseaux de robots IRC. Le sens de botnet s'est étendu aux réseaux de machines zombies, utilisés pour des usages malveillants, comme l'envoi de spam et virus informatiques, ou les attaques informatiques par déni de service (DDoS). Parmi les botnets les plus connus, on trouve le code malveillant mirai, qui permet de lancer des attaques par déni de service (DDoS) via des objets connectés. Il scanne les ports Telnet ouverts et tente de se connecter à l'aide d'une liste prédéfinie d'informations d'identification par défaut ou faibles. En décembre 2021, Google met un terme à Glupteba, un botnet constitué d’un million de machines. Ce large réseau était utilisé en matière de cyberattaque via des infections par ransomwares.

Cette campagne de Botnet dont l’origine probable serait au Brésil a été découverte par les chercheurs en sécurité de Cisco Talos.

Talos Intelligence Group est l'une des plus grandes équipes commerciales de renseignement sur les menaces au monde, composée de chercheurs, d'analystes et d'ingénieurs de classe mondiale. Ces équipes sont soutenues par une télémétrie inégalée et des systèmes sophistiqués pour créer des informations précises, rapides et exploitables sur les menaces pour les clients, produits et services Cisco.  Il défend les clients de Cisco contre les menaces connues et émergentes, découvre de nouvelles vulnérabilités dans les logiciels courants et interdit les menaces dans la nature avant qu'elles ne puissent nuire davantage à Internet dans son ensemble. 

Talos a observé “La présence d’un outil de spam connu sur les machines des victimes dans le cadre d’une campagne qui se poursuit depuis au moins novembre 2020. Cette campagne implique un programme multi-chaîne d’attaque par étapes qui commence par un e-mail de phishing et conduit à la livraison de la charge utile via l’exécution d’un script de téléchargement PowerShell et le chargement latéral vers des exécutables légitimes“.

Le billet de blog de Talos sur Horabot décrit également plusieurs solutions Cisco Secure capables de détecter et de bloquer ce nouveau botnet.

Un cheval de Troie (Trojan Horse en anglais) est un type de logiciel malveillant, souvent confondu avec les virus ou autres parasites. Le cheval de Troie est un logiciel en apparence légitime, mais qui contient une malveillance. Le rôle du cheval de Troie est de faire entrer ce parasite sur l'ordinateur et de l'y installer à l'insu de l'utilisateur. Le programme contenu est appelé la "charge utile". Il peut s'agir de n'importe quel type de parasite : virus, keylogger, logiciel espion. C'est ce parasite, et lui seul, qui va exécuter des actions au sein de l'ordinateur victime. Le cheval de Troie n'est rien d'autre que le véhicule, celui qui fait "entrer le loup dans la bergerie". Ce logiciel n'est pas nuisible en lui-même car il n'exécute aucune action, si ce n'est celle de permettre l'installation du vrai parasite. Dans leur cyberattaques, les pirates peuvent utiliser la charge utile du trojan pour installer un rançongiciel.


Le Spam, courriel indésirable ou pourriel (terme recommandé au Québec par l’OQLF1) est une communication électronique non sollicitée, en premier lieu via le courrier électronique.  Il s’agit en général d’envois en grande quantité effectués à des fins publicitaires. La plupart des messageries vous propose l'étiquetage d'un courriel considéré comme SPAM. Certaines messageries permettent de rapporter un SPAM afin d'améliorer leur base de données. Certaines campagnes de spams malveillants sont utilisées par voie de botnets afin de propager des infections de type ransomware (rançongiciel). En mai 2023, une campagne de phishing du botnet Horabot prend le contrôle des comptes Gmail et Outlook de la victime pour envoyer des spams.


La double authentification, authentification à deux facteurs (A2F ou 2FA), authentification à double facteur ou vérification en deux étapes  est une méthode d'authentification forte par laquelle un utilisateur peut accéder à une ressource informatique (un ordinateur, un téléphone intelligent ou encore un site web) après avoir présenté deux preuves d'identité distinctes à un mécanisme d'authentification. Un exemple de ce processus est l'accès à un compte bancaire grâce à un guichet automatique bancaire : seule la combinaison de la carte bancaire (que l'usager détient) et du numéro d'identification personnel (que l'usager connaît) permet de consulter le solde du compte et de retirer de l'argent. L'authentification 2FA est souvent la cible des pirates qui tentent d'implanter des exploits de chevaux de Troie bancaire.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.