Dridex s’inspire de Dyre et attaque des cibles britanniques

Des chercheurs ont remarqué que les exploitants de Dridex avaient redéfini leur centre d’intérêts et qu’ils se concentraient sur les banques en Grande-Bretagne qui offraient leurs services aux personnes morales. Une nouvelle version de ce Trojan est apparue il y a deux semaines et cet événement a été très vite suivi de campagnes de diffusion malveillantes qui visaient des utilisateurs britanniques.

D’après Limor Kessem, un des principaux experts d’IBM X-Force, la version la plus récente de Dridex est diffusée via le réseau de zombies Andromeda. Au début, la liste des cibles de la nouvelle version du Trojan ne comptait que deux banques, quelques jours plus tard, ce chiffre était déjà passé à 13.

Les attaques de Dridex contre des clients de banques britanniques n’ont rien d’étonnant : ce malware s’est toujours intéressé à l’argent. IBM suppose que les auteurs du Trojan ont simplement décidé de se concentrer sur des cibles clairement plus intéressantes au niveau financier : des banques avec des sous-domaines permettant d’accéder à des comptes professionnels ou d’entreprises.

Le nouveau Dridex se propage encore et toujours via des fichiers Microsoft Office avec une macro malveillante qui se font passer pour une facture et qui sont joints à de faux messages. Lorsque la victime de l’infection accède au site de sa banque, le malware redirige discrètement la requête vers une autre ressource afin d’obtenir le nom d’utilisateur et le mot de passe.

Cette technique de vol de données via une redirection n’est pas neuve et elle est utilisée par un autre Trojan bancaire : Dyre. Toutefois, ce dernier utilise pour ce faire un serveur proxy local tandis que la version actualisée de Dridex substitue les enregistrements dans le cache DNS local.

Limor Kessem explique que l’utilisation de cette technique requiert des préparatifs poussés. « Pour préparer une attaque avec redirection, le groupe criminel doit investir énormément dans la création de copies conforme des sites Internet des banques attaquées. Quand Dyre a commencé à utiliser ce mode, sa liste de cibles comptait plus d’une dizaine de banques. Cette opération nécessitait beaucoup de ressources et au bout du compte, les exploitants de Dyre ont du revenir à l’utilisation d’injections Web et à la substitution de pages » écrit l’expert dans le blog de X-Force.

Ceci étant dit, la nouvelle campagne Dridex a décollé très vite, ce qui a amené Limor Kessem à penser que les deux groupes criminels sont en contact avec le même développeur ou le même organisateur. Il se peut également que les exploitants de Dridex ont simplement acheté les copies de quelques sites au groupe derrière Dyre.

Les dernières mentions de Dridex dans la presse remontent à la fin du mois d’octobre ; à l’époque, le Trojan bancaire était actif en France alors que peu de temps auparavant, le FBI et l’Agence nationale de Grande-Bretagne avaient mené une opération conjointe pour la saisie de son infrastructure. Dans la mesure où le Trojan poursuit son tour d’Europe, cette opération n’a eu, selon toute vraisemblance, que impact temporaire sur ses attaques dévastatrices.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *