Nouvelle cybercampagne: activité de Dridex contre les Français

Il y a deux semaines, les représentants des autorités judiciaires et policières ont annoncé la mise hors service d’un réseau de zombies élaborés sur la base de Dridex. Toutefois, une nouvelle enquête semble indiqué que ce trojan bancaire est bien vivant.

En 96 heures, les chercheurs de la société Invincea, spécialisée en sécurité de l’information, ont enregistré 60 infections provoquées par Dridex sur le territoire français. Les auteurs de l’attaque envoient de faux messages contenant une fichier Microsoft Office en pièce jointe qui est présenté comme la facture d’un hôtel ou d’un magasin. L’ouverture du document entraîne l’activation d’une macro qui offre le fichier malveillant PIDARAS.exe à la victime. Ce fichier établit une connexion avec des hôtes japonais via son serveur de commande.

D’après les experts, ce mode de propagation permet aux individus malintentionnés de contourner les outils de détection de menace Internet. De plus, le malware utilise un certificat Comodo et pour cette raison, il peut tromper les technologies de protection qui font confiance au code signé.

A l’heure actuelle, ces diffusions malveillantes visent des utilisateurs francophones comme en témoigne le nom de la pièce jointe malveillante (facture) qui fait référence à un magasin français, ainsi que le code exécutable en lui-même. Il ne faut pas exclure la possibilité de voir cette campagne Dridex toucher d’autres langues également.

« Les attaques en France sont peut-être une répétition pour une campagne plus ambitieuse lancée également contre les habitants des Etats-Unis et d’autres pays, comme cela a souvent été le cas avec Dridex » avertissent les représentants d’Invicea dans le communiqué de presse.

En octobre, le FBI, le ministère de la Justice des Etats-Unis et l’Agence nationale du Royaume-Uni pour la lutte contre la criminalité avaient signalé une opération conjointe qui avait débouché sur la saisie d’une grande partie de l’infrastructure utilisée par Dridex. Les autorités judiciaires et policières avaient bénéficié de l’aide technique de Dell SecureWorks qui avait adopté la méthode du sinkhole pour remplacer quelques nœuds dans le réseau P2P du Trojan et rediriger vers ceux-ci près de 4 000 bots répartis en France et en Grande-Bretagne. Mais dans la pratique, certains sous-réseaux avaient échappé à cette opération.

Dridex est réapparu au début de ce mois; ce sont des chercheurs de Palo Alto Networks qui ont été les premiers à découvrir la reprise de son activité dans le cadre d’une diffusion de messages malveillants en Grande-Bretagne. A ce moment et à l’instar de la campagne francophone actuelle, les individus malintentionnés invitaient les destinataires des messages à activer la macro afin de pouvoir télécharger le Trojan.

Malheureusement, les effets de l’opération internationale pour l’élimination de Dridex n’auront été que temporaires: comme l’indiquait Brad Duncan, d’ISC SANS, la semaine dernière, ce banker n’aura été calme que pendant un mois. D’après l’expert, l’institut SANS n’a observé en septembre aucune campagne de spam visant à propager ce malware. Au cours de cette même période, aucun nouvel exemplaire n’est apparu sur VirusTotal. Ils ont commencé à faire surface le 1er octobre, au moment où Palo Alto enregistrait une hausse de l’activité du banker.

Source: Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *