Trojan Dridex – Mail malicieux Macro Office

Pendant que le ransomware Locky fait encore beaucoup parlé de lui, un article concernant le malware Dridex, connu aussi sous les noms Bugat, Feodo, Geodo.
il s’agit ici d’un Trojan stealer et banker qui vise aussi les entreprises et notamment les entreprises françaises.
En effet, Dridex utilise exactement les mêmes méthodes que le Ransomware Locky, à savoir des campagnes d’emails malicieux qui d’ailleurs sont antérieures.
Les premières campagnes Dridex ont débuté en Août 2014 et est devenu très actif à partir de Février/Juin 2015 en France, nous en parlions sur l’article : Campagnes Dridex – documents Microsoft Word & Excel piégés et détaillions déjà ces campagnes à travers : Campagne Email Word Malicieux – Dridex (malekal.com).
(Notez que parfois, les mails malicieux Word peuvent mener à d’autres malwares que Locky/Dridex, comme iSpy Keylogger ou le ransomware Cerber)
Si vous regardez d’un peu plus près, vous constaterez que Dridex utilisait déjà de faux emails Free Mobile :

et fausse facture :

Au début de la campagne du Ransomware Locky, ce dernier utilisait des document Office malicieux exactement comme le fait Dridex.
Les campagnes Ransomware Locky se sont vite tourné vers l’utilisation de JavaScript comme TeslaCrypt, certainement plus efficace : JS/TrojanDownloader.Nemucod : Ransomware
Pendant que les campagnes Locky perdurent, certains campagnes Dridex sont encore actives, encore récemment :

Dridex_mail_malicieux

Si l’on ouvre le document attaché et autorise l’exécution des Macro, le Malware Dridex est téléchargé et s’installe sur votre Windows :

Dridex_mail_malicieux_2

En vidéo :

Dridex charge un fichier une librairie à partir de rundll32.exe – ici le point de charge est une tâche planifiée, par le passé, Dridex a aussi utilisé des clef Run.

Task: {01714464-76AA-43BF-AA3B-145668261C23} - System32\Tasks\User_Feed_Synchronization-{ed9685a8-ced9-9796-6abf-a5f7b5a6a99f} => Rundll32.exe C:\Users\Marjorie\AppData\LocalLow\phv9EC6.tmp jTYXlDOr4d6d8aorc4VK

ce qui permet d’injecter explorer.exe

Dridex_injection_explorer_exe

Comprenez donc qu’aucun processus illégitime est visible depuis le gestionnaire de tâches ou autres. Simplement une DLL est chargée au démarrage de Windows qui injecte explorer.exe

La détection Virustotal :

SHA256:29d2f0a7eb8a53f8fafa372b1a1a98624f3f8a01c0ab1b7e16eebc538eefc603
Nom du fichier :olo4626.tmp
Ratio de détection :5 / 56
Date d’analyse :2016-03-22 11:09:19 UTC (il y a 1 minute)
AntivirusRésultatMise à jour
BkavHW32.Packed.D20620160321
MalwarebytesTrojan.FakeMS20160322
McAfee-GW-EditionBehavesLike.Win32.Expiro.fc20160322
Qihoo-360HEUR/QVM40.1.0000.Malware.Gen20160322
RisingPE:Malware.Generic(Thunder)!1.A1C4 [F]20160322

En bien détecté on peut obtenir  – comme vous pouvez le constater, les détections mélange du Locky et Dridex.

SHA256:e4c4e5337fa14ac8eb38376ec069173481f186692586edba805406fa756544d9
Nom du fichier :1278u0
Ratio de détection :40 / 57
Date d’analyse :2016-04-08 10:25:30 UTC (il y a 12 minutes)
AntivirusRésultatMise à jour
ALYacTrojan.GenericKD.314198720160408
AVGInject3.AIGU20160408
AVwareTrojan.Win32.Generic!BT20160408
Ad-AwareTrojan.GenericKD.314198720160408
AegisLabTroj.Crypt.Xpack!c20160408
AhnLab-V3Trojan/Win32.Agent20160408
ArcabitTrojan.Generic.D2FF16320160408
AvastWin32:Malware-gen20160408
Avira (no cloud)TR/Crypt.XPACK.Gen720160408
BaiduWin32.Trojan.WisdomEyes.151026.9950.999120160408
BitDefenderTrojan.GenericKD.314198720160408
ComodoTrojWare.Win32.TrojanDownloader.Agent.WQ20160408
CyrenW32/Locky.Q.gen!Eldorado20160408
DrWebTrojan.DownLoader20.5341820160408
ESET-NOD32Win32/TrojanDownloader.Agent.CGR20160408
EmsisoftTrojan.Win32.Dridex (A)20160408
F-ProtW32/Locky.Q.gen!Eldorado20160408
F-SecureTrojan.GenericKD.314198720160408
GDataTrojan.GenericKD.314198720160408
IkarusTrojan.Crypt20160408
K7AntiVirusTrojan-Downloader ( 004e24931 )20160407
KasperskyTrojan-Downloader.Win32.Agent.hgqc20160408
MalwarebytesTrojan.Downloader20160408
McAfeeRDN/Generic Downloader.x20160408
McAfee-GW-EditionBehavesLike.Win32.Downloader.nh20160407
eScanTrojan.GenericKD.314198720160408
MicrosoftBackdoor:Win32/Drixed20160408
PandaTrj/Dridex.C20160407
Qihoo-360HEUR/QVM20.1.Malware.Gen20160408
RisingPE:Malware.Generic/QRS!1.9E2D [F]20160408
SophosTroj/Dridex-SW20160408
SymantecDownloader20160408
TencentWin32.Trojan-downloader.Agent.Pezi20160408
TrendMicroTSPY_DRIDEX.BR20160408
TrendMicro-HouseCallTSPY_DRIDEX.BR20160408
VBA32suspected of Trojan.Downloader.gen.h20160407
VIPRETrojan.Win32.Generic!BT20160408
ViRobotTrojan.Win32.R.Agent.39424.B[h]20160408
ZillyaTrojan.Agent.Win32.67168320160408
nProtectTrojan.GenericKD.314198720160408

Microsoft peut détecter ce dernier en Backdoor:Win32/DrixedBackdoor_Win32_Drixed

Autre exemple de mails Invoice :
Dridex_Word

Le téléchargement du binaire peut s’effectuer à travers un script .VBE – si vous avez désactiver Windows Script Host, comme nous le préconisons sur la page Comment se protéger des scripts malicieux sur Windows
Vous devriez être protégé contre ces campagnes Dridex.
Dridex_VBE

 

Dridex va alors monitorer les processus des navigateurs WEB et est capable de récupérer les formulaires ou possèdent des capacités de keylogger.
Comme tous ce type de malware, Dridex permet le contrôle du système (installation de nouveaux malwares, injection de formulaire etc) afin de constituer un botnet.

Les différentes versions du Botnet depuis 2014 et selon les pays touchés (source Team Cympu) :

Dridex_Cymru

et une vidéo des communications des botnet Cridex :

Trend-Micro a publié des statistiques sur les campagnes Dridex : http://blog.trendmicro.com/trendlabs-security-intelligence/curious-case-dridexs-prevalence/

Dridex_volume_campagne_email_malicieux

et la répartition des profils de victime, les entreprises sont très touchées :Dridex_repartition_entreprises

 

Un compte twitter Dridex Bot qui semble être lié à ce malware.

DridexBot_twitter_2

On trouve d’ailleurs une capture d’écran d’un accès à un site d’une entreprise française :

DridexBot_twitter

 

Ce qu’il faut bien comprendre en rapport à la médiatisation du ransomware Locky, est qu’une infection par un ransomware est très visible puisque les documents deviennent inaccessibles et des fichiers contenant des instructions sont éparpillés dans chaque dossier du disque dur.
Le Trojan Dridex est tout le contraire, ce sont des malwares qui cherchent à être le plus discret possible afin que les administrateurs ne se rendent compte le plus tard possible d’une éventuellement fuite.
Tout comme les campagnes Locky, les campagnes Dridex visent d’abord les entreprises et notamment les services comptables (mail fausse facture etc).
Si des ordinateurs ont été infectés par le Ransomware Locky, il est aussi fort probable que l’année dernière, ces derniers ont aussi été touchés par Dridex et des comptes en ligne ont été compromis.

Liens connexes autour des campagnes d’emails malicieux :

et plus généralement :  Comment sécuriser mon Windows

Liens connexes :

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 177 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *