Dridex : le botnet bancaire vraiment mis K.-O. ?

La NCA est formelle : c’en est quasiment terminé de Dridex.

L’agence britannique dit avoir, en collaboration avec les autorités américaines, démantelé l’essentiel de ce botnet qui aurait permis de subtiliser pour plusieurs dizaines de millions d’euros sur des comptes bancaires, essentiellement au Royaume-Uni.

La France n’a pas été épargnée par ce malware diffusé via les messageries électroniques.

Principale technique exploitée par les pirates : des pièces jointes piégées, généralement au format .doc (traitement de texte) ou .xls (tableur Excel) et souvent présentées comme des factures ou des rappels d’impayés.

Dans ces documents se trouve une macro qui, lorsqu’elle est exécutée par Word ou Excel, ouvre une porte dérobée pour télécharger, en arrière-plan, une charge utile installable sur les systèmes d’exploitation Windows.

Une fois en place, le virus établit la connexion avec un serveur de commande. Il est capable de récupérer des données, mais aussi d’en transmettre, notamment des captures d’écran. S’il garde l’oeil sur d’éventuelles authentifications sur les réseaux sociaux, son objectif numéro un est de suivre la navigation Web de ses victimes jusqu’à détecter des connexions à une banque en ligne.

Plusieurs techniques sont alors exploitées pour récupérer identifiants et mots de passe. La plus fréquente est l’injection de code dans les pages HTML pour que les données fournies par l’utilisateur soient transmises vers le serveur pirate.

De par son architecture et ses capacités, tout particulièrement pour passer sous les radars des antivirus, Dridex est considéré comme une évolution de Cridex. Ce cheval de Troie identifié début 2012 se propage en infectant des disques réseau et des périphériques de stockage externe. Il est lui-même basé sur le trojan GameOver ZeuS.

Les premières traces de Dridex remontent à novembre 2014, dans le cadre d’une campagne de spam atteignant des pics à 15 000 messages envoyés par jour, essentiellement à destination de petites et moyennes entreprises britanniques.

Les auteurs présumés du malware (un collectif baptisé « Evil Corp ») auraient utilisé une base de 385 millions d’adresses électroniques, probablement acquise sur le marché noir. Ils ont visé, entre autre, une école basée en Pennsylvanie.

Soupçonné d’être l’artificier de ces opérations, le dénommé Andrey Ghinkul, un Moldave de 30 ans résidant à Chypre, avait été appréhendé fin août. Le réseau d’ordinateurs infectés ne s’était plus élargi depuis lors. Les connexions au serveur de commande principal ont été coupées ce 13 octobre avec le concours de Dell.

Crédit photo : lolloj – Shutterstock.com