Pour gérer vos consentements :

Le botnet Simda démantelé : coup double pour Interpol

Après avoir infecté 770 000 ordinateurs dans 190 pays en l’espace de trois ans, le botnet Simda a été mis hors d’état de nuire.

C’est tout du moins ce qu’affirme Interpol. Avec le soutien du FBI, l’organisation internationale de police criminelle a supervisé une coordination public-privé qui a saisi plus d’une dizaine de serveurs et de domaines aux Pays-Bas, en Pologne, au Luxembourg, aux Etats-Unis ou encore en Russie.

Repéré fin 2012, Simda était encore très actif ces derniers mois : il aurait contaminé 90 000 machines depuis le début de l’année selon Kaspersky Lab, qui a participé à l’opération de démantèlement. En première ligne, la Chine, la Russie et les Etats-Unis ; ainsi que, dans une moindre proportion, le Canada, l’Inde, le Royaume-Uni… et la France, où plus de 1500 infections ont été recensées.

D’après la description qu’en fait Microsoft, Simda se propageait essentiellement via des injections SQL sur des sites Web malveillants vers lesquels les victimes étaient souvent redirigées après avoir cliqué sur un lien dans un e-mail ou sur un réseau social.

A l’instar du botnet Beebone, éradiqué la semaine passée, Simda était difficilement détectable de par son caractère « polymorphe » : il se mettait régulièrement à jour pour passer incognito au radar antivirus. Tout en étant capable de s’adapter à l’environnement logiciel sur lequel il s’exécutait.

Autres points communs avec Beebone : la capacité à détecter de nombreux outils de sécurité ainsi que l’exécution dans des machines virtuelles et l’exploitation de listes noires d’adresses IP pour empêcher les connexions vers certains sites Internet, typiquement ceux des éditeurs de solutions de sécurité IT.

Simda a constitué un canal de diffusion majeur pour de nombreux logiciels malveillants, dont un trojan bancaire, des adware et des malware pour la fraude au clic (Miuref, Claretore, Haglacod). La puissance de calcul des machines contaminées pouvaient aussi être exploitée pour miner des monnaies virtuelles comme le bitcoin.

Le « petit plus » qui différenciait Simda de nombreux botnets, c’était cette modification du fichier hosts (%SYSTEM32%\drivers|etc\hosts.txt). Une manoeuvre qui facilitait l’installation d’autres logiciels malveillants, tout en garantissant une persistance : toute machine infectée continuait d’envoyer, de temps à autre, des requêtes HTTP vers des serveurs malveillants.

Les créateurs de Simda proposaient par ailleurs des prestations « sur commande ». Ils garantissaient par exemple qu’un seul logiciel malveillant soit installé sur une machine donnée. Une fois son travail accompli, le botnet entrait tout simplement en sommeil et ne se réactivait pas au redémarrage.

A noter : Kaspersky Lab a mis en place un site Web qui permet de vérifier si une adresse IP s’est déjà connectée au moins une fois à l’un des serveurs de commande et contrôle (C&C) liés à Simda.

Crédit photo : Sergey Nivens – Shutterstock.com

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago