On ne donnait plus très cher de sa peau après un raid concerté du FBI et des autorités britanniques. Mais Dridex sévit toujours.
Ce botnet aurait déjà permis de subtiliser pour plusieurs dizaines de millions d’euros sur des comptes bancaires, essentiellement au Royaume-Uni. Il était considéré comme démantelé après l’arrestation, fin août, de son créateur supposé, puis la coupure, à la mi-octobre, des connexions au serveur de commande principal.
Une version mise en doute par Invincea, qui affirme avoir détecté pas moins de 60 instances de Dridex ciblant des utilisateurs… en France.
La société américaine spécialisée dans la protection des points d’accès a constaté que le malware envoyé par le biais de ce botnet est signé avec un certificat émis par la société de sécurité Comodo. « Ce qui signifie que les technologies qui font confiance aux exécutables signés échoueront à stopper l’attaque ».
La menace est confirmée par le CERT-FR. L’organisme rattaché à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a émis une alerte le 23 octobre dernier. Il dit avoir repéré « à l’échelle nationale, une vague de pourriels [de type Dridex] dont le taux de blocage par les passerelles [antispam] est relativement faible ».
Les courriels en question sont généralement écrits dans un français sans faute. Ils renferment des documents Office présentés comme des factures émanant de magasins, d’hôtels ou d’autres organismes comme la DGA et la fourrière de Grenoble.
L’ouverture de ces documents déclenche l’exécution d’une macro VBScript ou Visual Basic employée pour assembler le malware PIDARAS.exe. Selon la technique dite du « just-in-time », la souche infectieuse est construite directement sur le poste de la cible afin d’échapper aux défenses basées sur le monitoring de réseau ou les bacs à sable.
Selon le CERT-FR, les téléchargements s’effectuent via le port HTTP « non standard 8080 », une caractéristique qui « permet de détecter, pour cette variante, les postes ayant exécuté la macro ».
Une fois le malware en place, il communique avec des serveurs basés au Japon, via le port 473. Si Dridex est susceptible d’échapper à la vigilance de certains antivirus, une désactivation de la fonction d’exécution automatique des macros Office permet de lui couper les ailes, comme le note Silicon.fr.
Crédit photo : lolloj – Shutterstock.com
Face aux menaces ciblant Microsoft 365, une approche de sécurité multicouche, combinant les fonctionnalités natives,…
Deux offres de cybersécurité portées par ITrust et Docaposte intègrent des suites collaboratives. Présentation.
Les dernières migrations de Windows 10 vers Windows 11 vont accélérer l'adoption des PC IA. Mais des…
L’IA générative excelle dans plusieurs cas d’usage, notamment dans l’analyse, la recherche et la synthèse…
Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…
Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…
