Infos

Dridex s’inspire de Dyre et attaque des cibles britanniques

Des chercheurs ont remarqué que les exploitants de Dridex avaient redéfini leur centre d’intérêts et qu’ils se concentraient sur les banques en Grande-Bretagne qui offraient leurs services aux personnes morales. Une nouvelle version de ce Trojan est apparue il y a deux semaines et cet événement a été très vite suivi de campagnes de diffusion malveillantes qui visaient des utilisateurs britanniques.

D’après Limor Kessem, un des principaux experts d’IBM X-Force, la version la plus récente de Dridex est diffusée via le réseau de zombies Andromeda. Au début, la liste des cibles de la nouvelle version du Trojan ne comptait que deux banques, quelques jours plus tard, ce chiffre était déjà passé à 13.

Les attaques de Dridex contre des clients de banques britanniques n’ont rien d’étonnant : ce malware s’est toujours intéressé à l’argent. IBM suppose que les auteurs du Trojan ont simplement décidé de se concentrer sur des cibles clairement plus intéressantes au niveau financier : des banques avec des sous-domaines permettant d’accéder à des comptes professionnels ou d’entreprises.

Le nouveau Dridex se propage encore et toujours via des fichiers Microsoft Office avec une macro malveillante qui se font passer pour une facture et qui sont joints à de faux messages. Lorsque la victime de l’infection accède au site de sa banque, le malware redirige discrètement la requête vers une autre ressource afin d’obtenir le nom d’utilisateur et le mot de passe.

Cette technique de vol de données via une redirection n’est pas neuve et elle est utilisée par un autre Trojan bancaire : Dyre. Toutefois, ce dernier utilise pour ce faire un serveur proxy local tandis que la version actualisée de Dridex substitue les enregistrements dans le cache DNS local.

Limor Kessem explique que l’utilisation de cette technique requiert des préparatifs poussés. « Pour préparer une attaque avec redirection, le groupe criminel doit investir énormément dans la création de copies conforme des sites Internet des banques attaquées. Quand Dyre a commencé à utiliser ce mode, sa liste de cibles comptait plus d’une dizaine de banques. Cette opération nécessitait beaucoup de ressources et au bout du compte, les exploitants de Dyre ont du revenir à l’utilisation d’injections Web et à la substitution de pages » écrit l’expert dans le blog de X-Force.

Ceci étant dit, la nouvelle campagne Dridex a décollé très vite, ce qui a amené Limor Kessem à penser que les deux groupes criminels sont en contact avec le même développeur ou le même organisateur. Il se peut également que les exploitants de Dridex ont simplement acheté les copies de quelques sites au groupe derrière Dyre.

Les dernières mentions de Dridex dans la presse remontent à la fin du mois d’octobre ; à l’époque, le Trojan bancaire était actif en France alors que peu de temps auparavant, le FBI et l’Agence nationale de Grande-Bretagne avaient mené une opération conjointe pour la saisie de son infrastructure. Dans la mesure où le Trojan poursuit son tour d’Europe, cette opération n’a eu, selon toute vraisemblance, que impact temporaire sur ses attaques dévastatrices.

Source: Threatpost

Dridex s’inspire de Dyre et attaque des cibles britanniques

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception