Encore un de ses botnets qui ne veut pas mourir. Cutwail redonne des signes d'activité.

Pandex, Mutant ou Pushdo sont les autres petits noms du botnet Cutwail dont les chercheurs en sécurité de M86 Security Labs ont constaté une sorte de résurrection en début d'année. Des signes de vie repérés via plusieurs envois massifs d'emails avec une pièce jointe HTML infectée par un code JavaScript.

Entre fin janvier et début février, cette activité de spam malveillant a connu des pics soudains et ciblés dans le temps. Les emails infectés sont en anglais avec divers sujets dont la suspension d'un compte bancaire ou soi-disant en provenance de Xerox WorkCentre.

Le code JavaScript vise à exploiter diverses vulnérabilités de sécurité dont par exemple une dans d'anciennes versions du lecteur PDF Reader d'Adobe. Les tests réalisés par M86 Security Labs ont montré que l'exploit finit par télécharger et installer un malware. En l'occurrence, il s'agissait d'un cheval de Troie cherchant à dérober des données et détecté sous l'identité Cridex ( sous Windows ).

Le botnet Cutwail a été découvert il y a près de cinq ans. À ses plus belles heures, il a compté de l'ordre de 1,5 million de machines infectées. Outre pour du spam, il a été utilisé pour mener en 2010 des attaques par déni de service distribué à l'encontre de centaines de sites d'importance dont PayPal, Twitter, les sites de la CIA et du FBI. Les raisons de ses DDoS ont gardé leur part de mystère.

Source GNT