Des experts en sécurité tirent la sonnette d'alarme face à la résurgence du malware Sefnit
Plusieurs millions de machines infectées par le passé

Le , par Arsene Newman, Expert éminent sénior
Détecté au cours du mois d'août 2013, le malware Sefnit est à l'origine de l'explosion du trafic du réseau anonyme Tor (une augmentation du nombre d'utilisateurs de plus de 600 % en quelques semaines), alors que cette augmentation a été initialement attribuée à l'effet de choc des révélations d'Edward Snowden.

Sefnit a rapidement infecté plusieurs millions de machines pour réaliser de la fraude au clic à grande échelle et de l'exploitation minière Bitcoin intensive. L'infection avait atteint son paroxysme en début d'année avant de s'essouffler, en partie grâce à une initiative de Microsoft pour la contrecarrer.

Toutefois, aujourd'hui les spécialistes mettent de nouveau en garde les utilisateurs contre Sefnit et la menace qu'il représente, suite à la détection d'une nouvelle variante datant de fin mars 2014.

Pour mieux comprendre ce malware, il faut remonter au début du mois de janvier 2014. Jeff McDonald, membre de Microsoft Research, l'avait alors décrit comme étant un malware qui infecte ses victimes via une version corrompue du client Tor (la version 0.2.3.25). Cette dernière contient plusieurs failles de sécurité et ne se met pas à jour automatiquement.

Après avoir infecté la victime, le malware se connecte aux serveurs de C&C (Command and Control), ces derniers utilisant le réseau Tor pour préserver leur anonymat. Fort de ses informations collectées, Microsoft avait alors entrepris de supprimer à distance les clients Tor de plus de 2 millions de machines Windows infectées, neutralisant par la même occasion le malware.

Mais récemment, des chercheurs de Facebook ont détecté une nouvelle version qui n'utilise plus Tor, mais a recourt plutôt à des connexions Plink sécurisées pour communiquer avec ses serveurs de C&C. Cette nouvelle variante se propage rapidement vu la facilité avec laquelle elle dupe ses victimes.

En effet, le malware télécharge deux fichiers (file1.exe et file2.exe) dont l’exécution débouche sur l'activation de plusieurs services nécessaires pour contacter les serveurs de C&C ainsi que l'installation de plusieurs .dll qui se présentent à l'utilisateur sous la forme d'un thème Windows.

La résurgence de certains malwares n'est pas un phénomène nouveau, mais la rigueur reste de mise face à Sefnit, d'où la réaction alarmante des experts et des chercheurs.

Sources : première annonce de Microsoft, annonce de Facebook

Et vous ?

Qu’en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Offres d'emploi IT
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)
Architecte et intégrateur scade/simulink H/F
Safran - Ile de France - Vélizy-Villacoublay (78140)
Architecte sécurité des systèmes d'information embarqués H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil