Microsoft supprime à distance le botnet TOR “Sefnit” de plus de 2 millions de machines

1
89

Microsoft a adopté une méthode offensive silencieuse pour lutter contre l’infection due à un malware de type botnet basé sur Tor appelé “Sefnit”. La firme a réussi à le supprimer à distance de plus de 2 millions de machines infectées.

Dans le but de faire tomber le botnet Sefnit et de protéger les utilisateurs de Windows, Microsoft a supprimé à distance les anciennes versions du logiciel Tor Browser installées et en même temps, l’infection présente sur 2 millions de systèmes, souvent à l’insu du propriétaire du système.

Après des révélations de Snowden sur la NSA concernant des programmes d’espionnage massif de l’Agence nationale de sécurité, beaucoup d’internautes craignaient d’être espionnés. Dans le même temps, les dirigeants de Tor Project ont remarqué près de 600 % d’augmentation du nombre d’utilisateurs sur les réseaux anonymes de Tor, avec plus de 600 000 utilisateurs rejoignant Tor en quelques semaines à peine.

tor-traffic-botnet

Mais les chercheurs ont identifié la principale raison de l’augmentation des utilisateurs de Tor, et c’est la faute d’un malware basé sur le réseau d’anonymisation TOR qui en est à l’origine : le botnet Sefnit, qui a été infecté des millions d’ordinateurs pour réaliser de la fraude au clic à grande échelle et de l’exploitation minière Bitcoin intensive.

Pour atteindre le nombre maximal d’infections, les cybercriminels utilisent plusieurs moyens afin de diffuser leur botnet. Après enquête, Microsoft a découvert que des logiciels populaires comme le navigateur Protector et FileScout, livrés avec la version vulnérable de Tor Browser seraient exploités par les composants Sefnit.

“Le problème de sécurité réside dans le fait que lors d’une infection par le malware Sefnit, le service client Tor est également installé silencieusement en tâche de fond. Même après que Sefnit est éradiqué, le service Tor sera conservé et sera toujours opérationnel pour accepter des connexions.”

Il n’était pas possible dans la pratique pour Microsoft ou le gouvernement d’instruire chaque individu sur la suppression de ce malware, donc finalement Microsoft a pris la décision de régler l’affaire à distance, en éradiquant les les infectionssur les systèmes touchés. Pour nettoyer les machines infectées, Microsoft a mis à jour les définitions de ses applications anti-malware :

“Nous avons modifié nos signatures pour supprimer le service client Tor que Sefnit a ajouté. La signature mise à jour est incluse dans tous les logiciels de sécurité de Microsof , y compris Microsoft Security Essentials, Windows Defender sur Windows 8, Microsoft Safety Scanner, Microsoft System Center Endpoint Protection, et Windows Defender Offline.”

La méthode utilisée est ingénieuse et efficace. Par contre, cela montre à quel point nos systèmes peuvent être contrôlés par des géants tels que Microsoft, en leur donnant la possibilité de supprimer à distance n’importe quel logiciel de votre ordinateur. Un revers de la médaille en quelques sortes…

Les commentaires sont fermés.