Qu’est-ce que le logiciel malveillant Dridex?
Dridex est un logiciel malveillant (malware) qui cible l’accès bancaire et financier en exploitant les macros de Microsoft Office pour infecter les systèmes. Une fois qu’un ordinateur a été infecté, les attaquants de Dridex peuvent voler des identifiants bancaires et d’autres informations personnelles sur le système pour accéder aux dossiers financiers d’un utilisateur.
Dridex fonctionne en arrivant d’abord sur l’ordinateur d’un utilisateur sous la forme d’un spam malveillant avec un document Microsoft Word joint au message. Si l’utilisateur ouvre le document, une macro intégrée au document déclenche subrepticement un téléchargement du logiciel malveillant bancaire Dridex, ce qui lui permet d’abord de voler les informations d’identification bancaires, puis de tenter de générer des transactions financières frauduleuses.
Evolution de Cridex et ZeuS
Dridex est une évolution du logiciel malveillant Cridex, lui-même basé sur le cheval de Troie ZeuS. Le malware bancaire Dridex s’est initialement propagé fin 2014 via une campagne de spam qui a généré plus de 15 000 e-mails par jour. Les attaques se sont principalement concentrées sur les systèmes informatiques situés au Royaume-Uni.
Le cheval de Troie Cridex se propage en se copiant sur les lecteurs mappés et amovibles des ordinateurs infectés. Cridex crée un point d’entrée backdoor sur les systèmes infectés, ce qui permet de télécharger et d’exécuter des logiciels malveillants supplémentaires et d’effectuer des opérations telles que l’ouverture de sites Web malveillants.
Cette dernière capacité permet à Cridex de capturer les informations d’identification bancaires des utilisateurs sur un système infecté lorsque l’utilisateur tente de visiter et de se connecter à un site Web financier. Cridex redirige subrepticement l’utilisateur vers une version frauduleuse du site financier et enregistre les identifiants de connexion au fur et à mesure qu’ils sont saisis.
Dridex est-il détectable ?
Comme cela a été le cas avec le maliciel Emotet, Dridex a également connu de nombreuses itérations. Au cours de la dernière décennie, Dridex a subi une série d’augmentations de fonctionnalités, y compris une transition vers les scripts XML, les algorithmes de hachage, le chiffrement pair-à-pair et le chiffrement pair-à-commandé. Comme Emotet, chaque nouvelle version de Dridex trace une étape supplémentaire dans la course aux armements mondiale, alors que la communauté de la sécurité réagit avec de nouvelles détections et atténuations « , ont écrit les chercheurs.
On pense que Dridex continuera à voir plus de variations. « Compte tenu du déploiement et de la mise en œuvre le même jour du domaine ssl-pertcom le 26 juin et d’une tendance à utiliser des variables et des répertoires d’URL générés de manière aléatoire, il est probable que les acteurs derrière cette variante de Dridex continueront à modifier les indicateurs tout au long de la campagne actuelle », indique le rapport.
La lumière au bout du tunnel ?
Le 05 décembre 2019, le FBI a annoncé des accusations de conspiration de logiciels malveillants de deux ressortissants russes.
Avec plusieurs co-conspirateurs, Maksim V. Yakubets et Igor Turashev sont accusés d’un effort qui a infecté des dizaines de milliers d’ordinateurs avec un code malveillant appelé Bugat. Une fois installé, le code informatique, également connu sous le nom de Dridex ou Cridex, permettait aux criminels de voler des identifiants bancaires et de transférer de l’argent directement depuis les comptes des victimes. Le stratagème de longue date impliquait un certain nombre de variantes de code différentes, et une version ultérieure installait également un ransomware sur les ordinateurs des victimes. Les criminels exigeaient ensuite un paiement en crypto-monnaie pour restituer les données vitales ou rétablir l’accès aux systèmes critiques.
Turashev et Yakubets ont tous deux été inculpés dans le district occidental de Pennsylvanie pour complot de fraude, fraude électronique et fraude bancaire, entre autres charges. Yakubets a également été lié à des accusations de complot de fraude bancaire émises dans le district du Nebraska après que les enquêteurs aient pu le relier au moniker inculpé « aqua » de cette affaire, qui impliquait une autre variante de logiciel malveillant connue sous le nom de Zeus.
Lisez l’article complet ici
Comment prévenir les ransomwares
Il existe un certain nombre de mesures défensives que vous pouvez prendre pour prévenir l’infection par les ransomwares. Ces étapes sont un bien sûr de bonnes pratiques de sécurité en général, donc les suivre améliore vos défenses contre toutes sortes d’attaques:
- Patching – Gardez votre système d’exploitation patché et à jour pour vous assurer que vous avez moins de vulnérabilités à exploiter.
- Liste blanche des applications – N’installez pas de logiciel ou ne lui donnez pas de privilèges administratifs à moins que vous ne sachiez exactement ce qu’il est et ce qu’il fait. Assurez-vous de maintenir une liste d’applications approuvées pour l’ensemble de l’organisation.
- Service antivirus/malware, utilisez un service qui détecte les programmes malveillants comme les ransomwares au fur et à mesure de leur arrivée. Certains incluent des capacités de liste blanche qui empêchent les applications non autorisées de s’exécuter en premier lieu.
- Étendez votre périmètre, utilisez un service de filtrage des e-mails et des médias sociaux, de préférence basé sur le cloud. Cela permettra de détecter les pièces jointes et les fichiers malveillants et de nombreux ‘comme Spambrella’ analysent également les URL à la recherche d’acteurs malveillants.
- Adoptez l’approche 3:2:1. Créez trois copies de sauvegarde, sur deux types de supports différents, et stockez une copie en toute sécurité hors site sur un appareil à air comprimé – Un appareil qui n’est pas en réseau ou accessible sur Internet
Tout ce que vous devez savoir sur le phishing…
Email spoofing : Qu’est-ce que c’est et comment l’empêcher
Le cabinet Brookside ENT du Michigan ferme ses portes après une attaque par ransomware
.