Microsoft et Symantec ont abattu le botnet Bamital

Microsoft et Symantec se sont associés pour écraser le botnet Bamital.

Une famille de malware qui a donné du fil à retordre puisque l’éditeur de solutions de sécurité IT l’avait repérée dès 2009.

Mais Bamital a évolué, rendant la tâche d’éradication plus compliquée.

Comment opérait cette « machine cybercriminelle à plusieurs millions de dollars » ? En fait, il pirate les résultats de recherche sur Internet.

En cliquant sur des liens spécifiques, l’internaute est re-routé vers un serveur qui sert de canal de commande et de contrôle (C&C server) qui pointe vers un site de destination infecté.

Des centaines de milliers d’utilisateur d’ordinateurs ont été piégés, selon Microsoft et Symantec. Autant de connexions pour alimenter le réseau de PC zombies.

Point troublant : Bamital dispose d’une capacité automatique de clic sans interaction nécessaire avec l’utilisateur. Ce qui appauvrit l’expérience utilisateur en phase de recherche sur Internet mais augmente les risques d’infection malware.

A l’origine, pour se propager, le malware favorisait le canal « drive-by download » (infection d’un ordinateur lors d’une simple visite d’un site Web) et des fichiers infectés sur des réseaux P2P.

Selon une analyse effectuée sur un seul serveur C&C « estampillé » Bamital sur une période de six semaines, le duo des éditeurs pouvaient identifier une communication fédérant plus de 1,8 million d’adresses IP uniques.

Avec une moyenne de trois millions de clics piratés au quotidien. Des analyses plus récentes montraient que l’on pouvait monter à plus d’un million de clics frauduleux par jour.

Un fléau pour des acteurs comme Google mais aussi Yahoo ou Microsoft qui ont monté des modèles publicitaires autour du coût par clic. La firme de Redmond considère que 22% des clics sur les publicités en ligne sont de nature frauduleuse.

Un taux élevé à se demander si Microsoft n’a pas envie d’appuyer là où cela fait mal pour gênerGoogle qui vit quasi-uniquement de ressources publicitaires.

Selon Microsoft, les pirates qui géraient le botnet s’appuyaient sur Phoenix Exploit, un kit de malware qui exploite les failles des navigateurs Internet pour installer furtivement des logiciels malveillants.

Symantec et Microsoft ont collaboré de façon étroite dans cette opération à la fois légale (recours à la justice aux Etats-Unis) et technique.

L’éditeur de solutions de sécurité IT précise qu’il a fourni une analyse technique présentant les capacités de ce maliciel, son historique et  l’analyse de l’infrastructure de contrôle-commande, ainsi que les techniques opérationnelles utilisées par les opérateurs du botnet.

Quiz : Hacking, phishing, spamming? La sécurité sur internet n’a pas de secret pour vous ?