Logiciel malveillant YamaBot employé par le groupe Lazarus

YamaBot est le nom d'un logiciel malveillant, employé par l'acteur menaçant qui porte le nom de groupe Lazarus.

YamaBot est également connu sous le nom de Kaos et est écrit et compilé dans le langage de programmation Go - un choix de plus en plus populaire auprès des auteurs de logiciels malveillants.

Le logiciel malveillant peut communiquer avec son infrastructure de serveur de commande et de contrôle à l'aide de commandes cryptées et de requêtes HTTP. Le logiciel malveillant peut envoyer des informations sur le nom d'hôte, l'adresse MAC et le nom d'utilisateur actuel du système infecté.

Les outils disponibles pour le malware changent en fonction de la plate-forme sous-jacente sur laquelle il a été déployé. Les instances YamaBot ciblant les machines Linux n'utilisent que des commandes shell via /bin/sh, tandis que les instances ciblant les systèmes Windows utilisent un certain nombre de commandes différentes qui peuvent obtenir des informations sur les répertoires et les fichiers, télécharger des fichiers, exécuter des chaînes à l'aide de commandes shell et supprimer YamaBot.

La version Windows du malware a été nommée en interne YamaBot par ses auteurs et les versions ciblant Linux sont appelées en interne Kaos.

Les chercheurs en sécurité mettent en garde contre les attaques utilisant le malware YamaBot, car Lazarus est un acteur de menace important et dangereux.

August 5, 2022