Microsoft s’attaque au botnet « Nitol » infectant des machines neuves

14 septembre 2012

 

Le spam d’origine cyber-criminelle est étroitement lié aux botnets, ces réseaux d’ordinateurs infectés par des programmes qui exécutent les ordres d’un commanditaire extérieur, dont il a été plusieurs fois question dans l’actualité. Un spam peut notamment servir à diffuser des programmes d’infection et d’affiliation à un botnet, dont une des tâches principales peut être de diffuser exponentiellement du spam en fonction de la taille de son réseau. La lutte contre le spam implique notamment d’agir contre les botnets.

Microsoft® et son unité de lutte contre le cyber crime (Digital Crimes Unit) ont mené à bien cette semaine une opération juridique et technique d’envergure contre le botnet émergent « Nitol ». Par décision de la Cour de Virginie, Microsoft a pu saisir le domaine 3322.org qui hébergeait le botnet Nitol et bloquer l’activité de 70 000 sous-domaines dangereux, portant un coup à l’expansion du réseau.

Cette opération a notamment été rendue possible par les travaux d’une équipe de chercheurs qui a révélé un phénomène méconnu : des failles dans le circuit de distribution peuvent conduire à l’achat d’ordinateurs neufs déjà infectés et affiliés à un botnet (en l'occurrence « Nitol » dont le serveur de commande est localisé en Chine). Une fois affilié au botnet, la machine peut envoyer des e-mails et des commentaires sur les réseaux sociaux à l’ensemble des contacts de la victime, et ainsi tenter de les piéger en leur extorquant de l’argent, en leur vendant des produits pharmaceutiques dangereux, ou en infectant de nouveaux ordinateurs. Outre le programme d’infection, ces machines neuves sont susceptibles d’abriter des logiciels capables d’activer la webcam et le microphone de l’ordinateur, ou d’enregistrer chacune des frappes au clavier afin de récupérer des mots de passe et des identifiants.

Le circuit de distribution (du constructeur jusqu’au client final) est compromis dès lors qu’un détaillant ou un distributeur reçoit ou vend des produits non autorisés ou dont la provenance n’est pas certifiée. L’étude de Microsoft a permis de confirmer que les cybercriminels installent des logiciels contrefaits qui infectent les machines. Ces logiciels sont viraux : ils peuvent s’étendre à d’autres terminaux à travers des clefs USB ou tout échange de fichier a priori anodin, sans qu'aucun symptôme ne trahisse l'infection de la machine. C'est pourquoi il est si important d'en appeler à la responsabilité et la vigilance individuelle des internautes : assurer la sécurité de son terminal est un impératif.

1ceb72ed64ca057b003551e5f6118955----------
Share This