Infos

Nouvelle cybercampagne: activité de Dridex contre les Français

Il y a deux semaines, les représentants des autorités judiciaires et policières ont annoncé la mise hors service d’un réseau de zombies élaborés sur la base de Dridex. Toutefois, une nouvelle enquête semble indiqué que ce trojan bancaire est bien vivant.

En 96 heures, les chercheurs de la société Invincea, spécialisée en sécurité de l’information, ont enregistré 60 infections provoquées par Dridex sur le territoire français. Les auteurs de l’attaque envoient de faux messages contenant une fichier Microsoft Office en pièce jointe qui est présenté comme la facture d’un hôtel ou d’un magasin. L’ouverture du document entraîne l’activation d’une macro qui offre le fichier malveillant PIDARAS.exe à la victime. Ce fichier établit une connexion avec des hôtes japonais via son serveur de commande.

D’après les experts, ce mode de propagation permet aux individus malintentionnés de contourner les outils de détection de menace Internet. De plus, le malware utilise un certificat Comodo et pour cette raison, il peut tromper les technologies de protection qui font confiance au code signé.

A l’heure actuelle, ces diffusions malveillantes visent des utilisateurs francophones comme en témoigne le nom de la pièce jointe malveillante (facture) qui fait référence à un magasin français, ainsi que le code exécutable en lui-même. Il ne faut pas exclure la possibilité de voir cette campagne Dridex toucher d’autres langues également.

« Les attaques en France sont peut-être une répétition pour une campagne plus ambitieuse lancée également contre les habitants des Etats-Unis et d’autres pays, comme cela a souvent été le cas avec Dridex » avertissent les représentants d’Invicea dans le communiqué de presse.

En octobre, le FBI, le ministère de la Justice des Etats-Unis et l’Agence nationale du Royaume-Uni pour la lutte contre la criminalité avaient signalé une opération conjointe qui avait débouché sur la saisie d’une grande partie de l’infrastructure utilisée par Dridex. Les autorités judiciaires et policières avaient bénéficié de l’aide technique de Dell SecureWorks qui avait adopté la méthode du sinkhole pour remplacer quelques nœuds dans le réseau P2P du Trojan et rediriger vers ceux-ci près de 4 000 bots répartis en France et en Grande-Bretagne. Mais dans la pratique, certains sous-réseaux avaient échappé à cette opération.

Dridex est réapparu au début de ce mois; ce sont des chercheurs de Palo Alto Networks qui ont été les premiers à découvrir la reprise de son activité dans le cadre d’une diffusion de messages malveillants en Grande-Bretagne. A ce moment et à l’instar de la campagne francophone actuelle, les individus malintentionnés invitaient les destinataires des messages à activer la macro afin de pouvoir télécharger le Trojan.

Malheureusement, les effets de l’opération internationale pour l’élimination de Dridex n’auront été que temporaires: comme l’indiquait Brad Duncan, d’ISC SANS, la semaine dernière, ce banker n’aura été calme que pendant un mois. D’après l’expert, l’institut SANS n’a observé en septembre aucune campagne de spam visant à propager ce malware. Au cours de cette même période, aucun nouvel exemplaire n’est apparu sur VirusTotal. Ils ont commencé à faire surface le 1er octobre, au moment où Palo Alto enregistrait une hausse de l’activité du banker.

Source: Threatpost

Nouvelle cybercampagne: activité de Dridex contre les Français

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception