Simda, actif dans 190 pays, aura infecté plus de 120 000 ordinateurs par mois durant les 6 derniers mois. Il était utilisé pour dérober des identifiants bancaires et installer d’autres malwares sur les machines infectées.

Tout comme les attaques, l’efficacité d’une mesure visant à détruire un botnet de cette taille repose sur la coordination. Interpol vient de le prouver en arrivant à faire fermer simultanément 14 serveurs de commande et contrôle du botnet situés en Hollande, aux Etats-Unis, au Luxembourg, en Pologne et Russie. 

L’opération a été pilotée par le complexe global d’Interpol situé à Singapour et a impliqué les services de police des pays dans lesquels figuraient les centres de contrôle évoqués ci-dessus. Interpol a également travaillé en collaboration avec Microsoft, Kaspersky, Trend Micro et l’institut japonais de cyberdéfense pour l’assistance technique.

En mutation toutes les heures et un mix de techniques d'infection

Simda était un botnet particulièrement sophistiqué car capable de se modifier pratiquement toutes les heures, ceci le rendant pratiquement indétectable par les logiciels anti-virus. Pour s’installer sur les machines, il s’appuyait sur un « cocktail » de failles affectant Oracle, Java, Flash et Silverlight. Il exploitait également des vulnérabilités pour pratiquer de l’injection SQL ou encore s’appuyait sur des kits tels que Blackhole ou Styx. Il utilisait également des méthodes d’ingénierie sociale ou encore du spam pour pénétrer les ordinateurs.

Les pays les plus touchés ont été les USA (22%), le Royaume-Uni et la Turquie (5% chacun) et le Canada et la Russie (4% chacun). Au total on a retrouvé la trace du botnet dans 190 pays du globe.

Le malware modifiait les fichiers hosts des machines Windows utilisées pour mapper des noms de domaines spécifiques à des adresses IP spécifiques. Une fois leur PC corrompu, les visiteurs qui souhaitaient se connecter à certains sites particuliers (Google ou Facebook notamment) étaient dirigés subrepticement au préalable vers des sites sous le contrôle des attaquants.

Kaspersky propose depuis un outil permettant de contrôler ces fichiers hosts situés dans le répertoire System32\driver\etc\hosts pour savoir s'ils sont affectés.




Autres News Malwares

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 143224
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI