Pour gérer vos consentements :

Dridex : le botnet bancaire vraiment mis K.-O. ?

La NCA est formelle : c’en est quasiment terminé de Dridex.

L’agence britannique dit avoir, en collaboration avec les autorités américaines, démantelé l’essentiel de ce botnet qui aurait permis de subtiliser pour plusieurs dizaines de millions d’euros sur des comptes bancaires, essentiellement au Royaume-Uni.

La France n’a pas été épargnée par ce malware diffusé via les messageries électroniques.

Principale technique exploitée par les pirates : des pièces jointes piégées, généralement au format .doc (traitement de texte) ou .xls (tableur Excel) et souvent présentées comme des factures ou des rappels d’impayés.

Dans ces documents se trouve une macro qui, lorsqu’elle est exécutée par Word ou Excel, ouvre une porte dérobée pour télécharger, en arrière-plan, une charge utile installable sur les systèmes d’exploitation Windows.

Une fois en place, le virus établit la connexion avec un serveur de commande. Il est capable de récupérer des données, mais aussi d’en transmettre, notamment des captures d’écran. S’il garde l’oeil sur d’éventuelles authentifications sur les réseaux sociaux, son objectif numéro un est de suivre la navigation Web de ses victimes jusqu’à détecter des connexions à une banque en ligne.

Plusieurs techniques sont alors exploitées pour récupérer identifiants et mots de passe. La plus fréquente est l’injection de code dans les pages HTML pour que les données fournies par l’utilisateur soient transmises vers le serveur pirate.

De par son architecture et ses capacités, tout particulièrement pour passer sous les radars des antivirus, Dridex est considéré comme une évolution de Cridex. Ce cheval de Troie identifié début 2012 se propage en infectant des disques réseau et des périphériques de stockage externe. Il est lui-même basé sur le trojan GameOver ZeuS.

Les premières traces de Dridex remontent à novembre 2014, dans le cadre d’une campagne de spam atteignant des pics à 15 000 messages envoyés par jour, essentiellement à destination de petites et moyennes entreprises britanniques.

Les auteurs présumés du malware (un collectif baptisé « Evil Corp ») auraient utilisé une base de 385 millions d’adresses électroniques, probablement acquise sur le marché noir. Ils ont visé, entre autre, une école basée en Pennsylvanie.

Soupçonné d’être l’artificier de ces opérations, le dénommé Andrey Ghinkul, un Moldave de 30 ans résidant à Chypre, avait été appréhendé fin août. Le réseau d’ordinateurs infectés ne s’était plus élargi depuis lors. Les connexions au serveur de commande principal ont été coupées ce 13 octobre avec le concours de Dell.

Crédit photo : lolloj – Shutterstock.com

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 semaines ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

2 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

3 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago