vendredi 5 juin 2020    || Inscription
BanniereNews
 
 
Simda, actif dans 190 pays, aura infecté plus de 120 000 ordinateurs par mois durant les 6 derniers mois. Il était utilisé pour dérober des identifiants bancaires et installer d’autres malwares sur les machines infectées.

Tout comme les attaques, l’efficacité d’une mesure visant à détruire un botnet de cette taille repose sur la coordination. Interpol vient de le prouver en arrivant à faire fermer simultanément 14 serveurs de commande et contrôle du botnet situés en Hollande, aux Etats-Unis, au Luxembourg, en Pologne et Russie. 

L’opération a été pilotée par le complexe global d’Interpol situé à Singapour et a impliqué les services de police des pays dans lesquels figuraient les centres de contrôle évoqués ci-dessus. Interpol a également travaillé en collaboration avec Microsoft, Kaspersky, Trend Micro et l’institut japonais de cyberdéfense pour l’assistance technique.

En mutation toutes les heures et un mix de techniques d'infection

Simda était un botnet particulièrement sophistiqué car capable de se modifier pratiquement toutes les heures, ceci le rendant pratiquement indétectable par les logiciels anti-virus. Pour s’installer sur les machines, il s’appuyait sur un « cocktail » de failles affectant Oracle, Java, Flash et Silverlight. Il exploitait également des vulnérabilités pour pratiquer de l’injection SQL ou encore s’appuyait sur des kits tels que Blackhole ou Styx. Il utilisait également des méthodes d’ingénierie sociale ou encore du spam pour pénétrer les ordinateurs.

Les pays les plus touchés ont été les USA (22%), le Royaume-Uni et la Turquie (5% chacun) et le Canada et la Russie (4% chacun). Au total on a retrouvé la trace du botnet dans 190 pays du globe.

Le malware modifiait les fichiers hosts des machines Windows utilisées pour mapper des noms de domaines spécifiques à des adresses IP spécifiques. Une fois leur PC corrompu, les visiteurs qui souhaitaient se connecter à certains sites particuliers (Google ou Facebook notamment) étaient dirigés subrepticement au préalable vers des sites sous le contrôle des attaquants.

Kaspersky propose depuis un outil permettant de contrôler ces fichiers hosts situés dans le répertoire System32\driver\etc\hosts pour savoir s'ils sont affectés.




Autres News Malwares

Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

RSS
12



Événements SSI