Dridex : un botnet bancaire coriace qui vise la France
On le croyait démantelé, mais il est toujours actif : le botnet Dridex, conçu pour voler des données bancaires, fait l’objet d’une alerte en France.
On ne donnait plus très cher de sa peau après un raid concerté du FBI et des autorités britanniques. Mais Dridex sévit toujours.
Ce botnet aurait déjà permis de subtiliser pour plusieurs dizaines de millions d’euros sur des comptes bancaires, essentiellement au Royaume-Uni. Il était considéré comme démantelé après l’arrestation, fin août, de son créateur supposé, puis la coupure, à la mi-octobre, des connexions au serveur de commande principal.
Une version mise en doute par Invincea, qui affirme avoir détecté pas moins de 60 instances de Dridex ciblant des utilisateurs… en France.
La société américaine spécialisée dans la protection des points d’accès a constaté que le malware envoyé par le biais de ce botnet est signé avec un certificat émis par la société de sécurité Comodo. « Ce qui signifie que les technologies qui font confiance aux exécutables signés échoueront à stopper l’attaque ».
La menace est confirmée par le CERT-FR. L’organisme rattaché à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a émis une alerte le 23 octobre dernier. Il dit avoir repéré « à l’échelle nationale, une vague de pourriels [de type Dridex] dont le taux de blocage par les passerelles [antispam] est relativement faible ».
Les courriels en question sont généralement écrits dans un français sans faute. Ils renferment des documents Office présentés comme des factures émanant de magasins, d’hôtels ou d’autres organismes comme la DGA et la fourrière de Grenoble.
L’ouverture de ces documents déclenche l’exécution d’une macro VBScript ou Visual Basic employée pour assembler le malware PIDARAS.exe. Selon la technique dite du « just-in-time », la souche infectieuse est construite directement sur le poste de la cible afin d’échapper aux défenses basées sur le monitoring de réseau ou les bacs à sable.
Selon le CERT-FR, les téléchargements s’effectuent via le port HTTP « non standard 8080 », une caractéristique qui « permet de détecter, pour cette variante, les postes ayant exécuté la macro ».
Une fois le malware en place, il communique avec des serveurs basés au Japon, via le port 473. Si Dridex est susceptible d’échapper à la vigilance de certains antivirus, une désactivation de la fonction d’exécution automatique des macros Office permet de lui couper les ailes, comme le note Silicon.fr.
Crédit photo : lolloj – Shutterstock.com