Trojan Dridex – Mail malicieux Macro Office

Pendant que le ransomware Locky fait encore beaucoup parlé de lui, un article concernant le malware Dridex, connu aussi sous les noms Bugat, Feodo, Geodo.
il s’agit ici d’un Trojan stealer et banker qui vise aussi les entreprises et notamment les entreprises françaises.
En effet, Dridex utilise exactement les mêmes méthodes que le Ransomware Locky, à savoir des campagnes d’emails malicieux qui d’ailleurs sont antérieures.
Les premières campagnes Dridex ont débuté en Août 2014 et est devenu très actif à partir de Février/Juin 2015 en France, nous en parlions sur l’article : Campagnes Dridex – documents Microsoft Word & Excel piégés et détaillions déjà ces campagnes à travers : Campagne Email Word Malicieux – Dridex (malekal.com).
(Notez que parfois, les mails malicieux Word peuvent mener à d’autres malwares que Locky/Dridex, comme iSpy Keylogger ou le ransomware Cerber)
Si vous regardez d’un peu plus près, vous constaterez que Dridex utilisait déjà de faux emails Free Mobile :

et fausse facture :

Au début de la campagne du Ransomware Locky, ce dernier utilisait des document Office malicieux exactement comme le fait Dridex.
Les campagnes Ransomware Locky se sont vite tourné vers l’utilisation de JavaScript comme TeslaCrypt, certainement plus efficace : JS/TrojanDownloader.Nemucod : Ransomware
Pendant que les campagnes Locky perdurent, certains campagnes Dridex sont encore actives, encore récemment :

Dridex_mail_malicieux

Si l’on ouvre le document attaché et autorise l’exécution des Macro, le Malware Dridex est téléchargé et s’installe sur votre Windows :

Dridex_mail_malicieux_2

En vidéo :

ou encore :

Dridex charge un fichier une librairie à partir de rundll32.exe – ici le point de charge est une tâche planifiée, par le passé, Dridex a aussi utilisé des clef Run.

Task: {01714464-76AA-43BF-AA3B-145668261C23} - System32\Tasks\User_Feed_Synchronization-{ed9685a8-ced9-9796-6abf-a5f7b5a6a99f} => Rundll32.exe C:\Users\Marjorie\AppData\LocalLow\phv9EC6.tmp jTYXlDOr4d6d8aorc4VK

ce qui permet d’injecter explorer.exe

Dridex_injection_explorer_exe

Comprenez donc qu’aucun processus illégitime est visible depuis le gestionnaire de tâches ou autres. Simplement une DLL est chargée au démarrage de Windows qui injecte explorer.exe

La détection Virustotal :

SHA256: 29d2f0a7eb8a53f8fafa372b1a1a98624f3f8a01c0ab1b7e16eebc538eefc603
Nom du fichier : olo4626.tmp
Ratio de détection : 5 / 56
Date d’analyse : 2016-03-22 11:09:19 UTC (il y a 1 minute)
Antivirus Résultat Mise à jour
Bkav HW32.Packed.D206 20160321
Malwarebytes Trojan.FakeMS 20160322
McAfee-GW-Edition BehavesLike.Win32.Expiro.fc 20160322
Qihoo-360 HEUR/QVM40.1.0000.Malware.Gen 20160322
Rising PE:Malware.Generic(Thunder)!1.A1C4 [F] 20160322

En bien détecté on peut obtenir  – comme vous pouvez le constater, les détections mélange du Locky et Dridex.

SHA256: e4c4e5337fa14ac8eb38376ec069173481f186692586edba805406fa756544d9
Nom du fichier : 1278u0
Ratio de détection : 40 / 57
Date d’analyse : 2016-04-08 10:25:30 UTC (il y a 12 minutes)
Antivirus Résultat Mise à jour
ALYac Trojan.GenericKD.3141987 20160408
AVG Inject3.AIGU 20160408
AVware Trojan.Win32.Generic!BT 20160408
Ad-Aware Trojan.GenericKD.3141987 20160408
AegisLab Troj.Crypt.Xpack!c 20160408
AhnLab-V3 Trojan/Win32.Agent 20160408
Arcabit Trojan.Generic.D2FF163 20160408
Avast Win32:Malware-gen 20160408
Avira (no cloud) TR/Crypt.XPACK.Gen7 20160408
Baidu Win32.Trojan.WisdomEyes.151026.9950.9991 20160408
BitDefender Trojan.GenericKD.3141987 20160408
Comodo TrojWare.Win32.TrojanDownloader.Agent.WQ 20160408
Cyren W32/Locky.Q.gen!Eldorado 20160408
DrWeb Trojan.DownLoader20.53418 20160408
ESET-NOD32 Win32/TrojanDownloader.Agent.CGR 20160408
Emsisoft Trojan.Win32.Dridex (A) 20160408
F-Prot W32/Locky.Q.gen!Eldorado 20160408
F-Secure Trojan.GenericKD.3141987 20160408
GData Trojan.GenericKD.3141987 20160408
Ikarus Trojan.Crypt 20160408
K7AntiVirus Trojan-Downloader ( 004e24931 ) 20160407
Kaspersky Trojan-Downloader.Win32.Agent.hgqc 20160408
Malwarebytes Trojan.Downloader 20160408
McAfee RDN/Generic Downloader.x 20160408
McAfee-GW-Edition BehavesLike.Win32.Downloader.nh 20160407
eScan Trojan.GenericKD.3141987 20160408
Microsoft Backdoor:Win32/Drixed 20160408
Panda Trj/Dridex.C 20160407
Qihoo-360 HEUR/QVM20.1.Malware.Gen 20160408
Rising PE:Malware.Generic/QRS!1.9E2D [F] 20160408
Sophos Troj/Dridex-SW 20160408
Symantec Downloader 20160408
Tencent Win32.Trojan-downloader.Agent.Pezi 20160408
TrendMicro TSPY_DRIDEX.BR 20160408
TrendMicro-HouseCall TSPY_DRIDEX.BR 20160408
VBA32 suspected of Trojan.Downloader.gen.h 20160407
VIPRE Trojan.Win32.Generic!BT 20160408
ViRobot Trojan.Win32.R.Agent.39424.B[h] 20160408
Zillya Trojan.Agent.Win32.671683 20160408
nProtect Trojan.GenericKD.3141987 20160408

Microsoft peut détecter ce dernier en Backdoor:Win32/DrixedBackdoor_Win32_Drixed

Autre exemple de mails Invoice :
Dridex_Word

Le téléchargement du binaire peut s’effectuer à travers un script .VBE – si vous avez désactiver Windows Script Host, comme nous le préconisons sur la page Comment se protéger des scripts malicieux sur Windows
Vous devriez être protégé contre ces campagnes Dridex.
Dridex_VBE

 

Dridex va alors monitorer les processus des navigateurs WEB et est capable de récupérer les formulaires ou possèdent des capacités de keylogger.
Comme tous ce type de malware, Dridex permet le contrôle du système (installation de nouveaux malwares, injection de formulaire etc) afin de constituer un botnet.

Les différentes versions du Botnet depuis 2014 et selon les pays touchés (source Team Cympu) :

Dridex_Cymru

et une vidéo des communications des botnet Cridex :

Trend-Micro a publié des statistiques sur les campagnes Dridex : http://blog.trendmicro.com/trendlabs-security-intelligence/curious-case-dridexs-prevalence/

Dridex_volume_campagne_email_malicieux

et la répartition des profils de victime, les entreprises sont très touchées :Dridex_repartition_entreprises

 

Un compte twitter Dridex Bot qui semble être lié à ce malware.

DridexBot_twitter_2

On trouve d’ailleurs une capture d’écran d’un accès à un site d’une entreprise française :

DridexBot_twitter

 

Ce qu’il faut bien comprendre en rapport à la médiatisation du ransomware Locky, est qu’une infection par un ransomware est très visible puisque les documents deviennent inaccessibles et des fichiers contenant des instructions sont éparpillés dans chaque dossier du disque dur.
Le Trojan Dridex est tout le contraire, ce sont des malwares qui cherchent à être le plus discret possible afin que les administrateurs ne se rendent compte le plus tard possible d’une éventuellement fuite.
Tout comme les campagnes Locky, les campagnes Dridex visent d’abord les entreprises et notamment les services comptables (mail fausse facture etc).
Si des ordinateurs ont été infectés par le Ransomware Locky, il est aussi fort probable que l’année dernière, ces derniers ont aussi été touchés par Dridex et des comptes en ligne ont été compromis.

Liens connexes autour des campagnes d’emails malicieux :

et plus généralement :  Comment sécuriser mon Windows

Liens connexes :

(Visité 402 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Vous pouvez lire les articles et tutoriels suivants en rapport avec cette page :
Les virus par emailLes ransomwares

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com