Pendant que le ransomware Locky fait encore beaucoup parlé de lui, un article concernant le malware Dridex, connu aussi sous les noms Bugat, Feodo, Geodo.
il s’agit ici d’un Trojan stealer et banker qui vise aussi les entreprises et notamment les entreprises françaises.
En effet, Dridex utilise exactement les mêmes méthodes que le Ransomware Locky, à savoir des campagnes d’emails malicieux qui d’ailleurs sont antérieures.
Les premières campagnes Dridex ont débuté en Août 2014 et est devenu très actif à partir de Février/Juin 2015 en France, nous en parlions sur l’article : Campagnes Dridex – documents Microsoft Word & Excel piégés et détaillions déjà ces campagnes à travers : Campagne Email Word Malicieux – Dridex (malekal.com).
(Notez que parfois, les mails malicieux Word peuvent mener à d’autres malwares que Locky/Dridex, comme iSpy Keylogger ou le ransomware Cerber)
Si vous regardez d’un peu plus près, vous constaterez que Dridex utilisait déjà de faux emails Free Mobile :
Table des matières
Les mails malveillants en pièce jointe Word et Office
Les pièces jointes malveillantes Office et plus particulièrement Office sont massivement utilisés depuis 2015 et surtout 2016 pour infecter les ordinateurs.
Vous trouverez des explications techniques et comment s’en protéger sur la page consacrée à ce phénomène : Les virus par Word et Excel (documents Office) : comment s’en protéger
Voici quelques exemples de mail malveillant utilisés pour distribuer le Trojan Dridex.
Comme par exemple une fausse facture visant les services de compta des entreprises :
Au début de la campagne du Ransomware Locky, ce dernier utilisait des document Office malicieux exactement comme le fait Dridex.
Les campagnes Ransomware Locky se sont vite tourné vers l’utilisation de JavaScript comme TeslaCrypt, certainement plus efficace : JS/TrojanDownloader.Nemucod : Ransomware
Pendant que les campagnes Locky perdurent, certains campagnes Dridex sont encore actives, encore récemment :
Si l’on ouvre le document attaché et autorise l’exécution des Macro, le Malware Dridex est téléchargé et s’installe sur votre Windows :
Exemple de document Word malveillant en vidéo :
ou encore cette seconde vidéo :
Le Trojan Dridex
Dridex charge un fichier une librairie à partir de rundll32.exe – ici le point de charge est une tâche planifiée, par le passé, Dridex a aussi utilisé des clef Run.
Task: {01714464-76AA-43BF-AA3B-145668261C23} - System32\Tasks\User_Feed_Synchronization-{ed9685a8-ced9-9796-6abf-a5f7b5a6a99f} => Rundll32.exe C:\Users\Marjorie\AppData\LocalLow\phv9EC6.tmp jTYXlDOr4d6d8aorc4VK
ce qui permet d’injecter explorer.exe
Comprenez donc qu’aucun processus illégitime est visible depuis le gestionnaire de tâches ou autres. Simplement une DLL est chargée au démarrage de Windows qui injecte explorer.exe
La détection Virustotal :
| SHA256: | 29d2f0a7eb8a53f8fafa372b1a1a98624f3f8a01c0ab1b7e16eebc538eefc603 |
| Nom du fichier : | olo4626.tmp |
| Ratio de détection : | 5 / 56 |
| Date d’analyse : | 2016-03-22 11:09:19 UTC (il y a 1 minute) |
| Antivirus | Résultat | Mise à jour |
|---|---|---|
| Bkav | HW32.Packed.D206 | 20160321 |
| Malwarebytes | Trojan.FakeMS | 20160322 |
| McAfee-GW-Edition | BehavesLike.Win32.Expiro.fc | 20160322 |
| Qihoo-360 | HEUR/QVM40.1.0000.Malware.Gen | 20160322 |
| Rising | PE:Malware.Generic(Thunder)!1.A1C4 [F] | 20160322 |
En bien détecté on peut obtenir – comme vous pouvez le constater, les détections mélange du Locky et Dridex.
| SHA256: | e4c4e5337fa14ac8eb38376ec069173481f186692586edba805406fa756544d9 |
| Nom du fichier : | 1278u0 |
| Ratio de détection : | 40 / 57 |
| Date d’analyse : | 2016-04-08 10:25:30 UTC (il y a 12 minutes) |
| Antivirus | Résultat | Mise à jour |
|---|---|---|
| ALYac | Trojan.GenericKD.3141987 | 20160408 |
| AVG | Inject3.AIGU | 20160408 |
| AVware | Trojan.Win32.Generic!BT | 20160408 |
| Ad-Aware | Trojan.GenericKD.3141987 | 20160408 |
| AegisLab | Troj.Crypt.Xpack!c | 20160408 |
| AhnLab-V3 | Trojan/Win32.Agent | 20160408 |
| Arcabit | Trojan.Generic.D2FF163 | 20160408 |
| Avast | Win32:Malware-gen | 20160408 |
| Avira (no cloud) | TR/Crypt.XPACK.Gen7 | 20160408 |
| Baidu | Win32.Trojan.WisdomEyes.151026.9950.9991 | 20160408 |
| BitDefender | Trojan.GenericKD.3141987 | 20160408 |
| Comodo | TrojWare.Win32.TrojanDownloader.Agent.WQ | 20160408 |
| Cyren | W32/Locky.Q.gen!Eldorado | 20160408 |
| DrWeb | Trojan.DownLoader20.53418 | 20160408 |
| ESET-NOD32 | Win32/TrojanDownloader.Agent.CGR | 20160408 |
| Emsisoft | Trojan.Win32.Dridex (A) | 20160408 |
| F-Prot | W32/Locky.Q.gen!Eldorado | 20160408 |
| F-Secure | Trojan.GenericKD.3141987 | 20160408 |
| GData | Trojan.GenericKD.3141987 | 20160408 |
| Ikarus | Trojan.Crypt | 20160408 |
| K7AntiVirus | Trojan-Downloader ( 004e24931 ) | 20160407 |
| Kaspersky | Trojan-Downloader.Win32.Agent.hgqc | 20160408 |
| Malwarebytes | Trojan.Downloader | 20160408 |
| McAfee | RDN/Generic Downloader.x | 20160408 |
| McAfee-GW-Edition | BehavesLike.Win32.Downloader.nh | 20160407 |
| eScan | Trojan.GenericKD.3141987 | 20160408 |
| Microsoft | Backdoor:Win32/Drixed | 20160408 |
| Panda | Trj/Dridex.C | 20160407 |
| Qihoo-360 | HEUR/QVM20.1.Malware.Gen | 20160408 |
| Rising | PE:Malware.Generic/QRS!1.9E2D [F] | 20160408 |
| Sophos | Troj/Dridex-SW | 20160408 |
| Symantec | Downloader | 20160408 |
| Tencent | Win32.Trojan-downloader.Agent.Pezi | 20160408 |
| TrendMicro | TSPY_DRIDEX.BR | 20160408 |
| TrendMicro-HouseCall | TSPY_DRIDEX.BR | 20160408 |
| VBA32 | suspected of Trojan.Downloader.gen.h | 20160407 |
| VIPRE | Trojan.Win32.Generic!BT | 20160408 |
| ViRobot | Trojan.Win32.R.Agent.39424.B[h] | 20160408 |
| Zillya | Trojan.Agent.Win32.671683 | 20160408 |
| nProtect | Trojan.GenericKD.3141987 | 20160408 |
Microsoft peut détecter ce dernier en Backdoor:Win32/Drixed
Le téléchargement du binaire peut s’effectuer à travers un script .VBE – si vous avez désactiver Windows Script Host, comme nous le préconisons sur la page Comment se protéger des scripts malicieux sur Windows
Vous devriez être protégé contre ces campagnes Dridex.
Le Cheval de troie Dridex : Un Trojan Stealer
Dridex va alors monitorer les processus des navigateurs WEB et est capable de récupérer les formulaires ou possèdent des capacités de keylogger.
Comme tous ce type de malware, Dridex permet le contrôle du système (installation de nouveaux malwares, injection de formulaire etc) afin de constituer un botnet.
Les différentes versions du Botnet depuis 2014 et selon les pays touchés (source Team Cympu) :
et une vidéo des communications des botnet Cridex :
Trend-Micro a publié des statistiques sur les campagnes Dridex : http://blog.trendmicro.com/trendlabs-security-intelligence/curious-case-dridexs-prevalence/
et la répartition des profils de victime, les entreprises sont très touchées :
Un compte twitter Dridex Bot qui semble être lié à ce malware.
On trouve d’ailleurs une capture d’écran d’un accès à un site d’une entreprise française :
Ce qu’il faut bien comprendre en rapport à la médiatisation du ransomware Locky, est qu’une infection par un ransomware est très visible puisque les documents deviennent inaccessibles et des fichiers contenant des instructions sont éparpillés dans chaque dossier du disque dur.
Le Trojan Dridex est tout le contraire, ce sont des malwares qui cherchent à être le plus discret possible afin que les administrateurs ne se rendent compte le plus tard possible d’une éventuellement fuite.
Tout comme les campagnes Locky, les campagnes Dridex visent d’abord les entreprises et notamment les services comptables (mail fausse facture etc).
Si des ordinateurs ont été infectés par le Ransomware Locky, il est aussi fort probable que l’année dernière, ces derniers ont aussi été touchés par Dridex et des comptes en ligne ont été compromis.
Liens sur la sécurité informatique
Liens connexes autour des campagnes d’emails malicieux :
- Virus par Email : Ce qu’il faut savoir pour les éviter
- Comment se protéger des scripts malicieux sur Windows
et plus généralement : Comment sécuriser mon Windows
Liens connexes :