lolloj - Fotolia
Dridex revient et change de cibles
Après avoir été activement utilisé contre des cibles françaises à l’automne dernier, dans le domaine bancaire, Dridex revient visant notamment l’industrie, les télécoms et les services financiers.
Pour l’heure, les Etats-Unis et le Royaume-Uni sont aux premières loges. Mais l’histoire récente laisse à imaginer que la France pourrait prochainement être également visée par les opérateurs de Dridex.
Ce cheval de Troie a en effet été utilisé dans le cadre d’une vaste campagne visant les utilisateurs de services de banque en ligne français à l’automne dernier. Il infectait alors ses victimes par le biais de prétendues factures envoyées en masse par courrier électronique : provenant de prestataires inconnus et transmises sous la forme de fichiers Word, Dridex s’appuyait sur des macros VBA malicieuses pour assurer son chargement. Le Cert-FR s’était fendu d’un bulletin d’alerte, faisant au passage référence à une campagne précédente lancée en juin 2015.
Rien de cela pour l’instant, mais FireEye et la division X-Force d’IBM ont observé l’émergence d’une nouvelle campagne Dridex ciblant précisément les secteurs de l’industrie et des télécoms, en plus des services financiers.
Les chercheurs de l’X-Force relèvent en particulier des évolutions dans les méthodes des opérateurs de Dridex. Une nouvelle version du logiciel malveillant, sortie tout début janvier et corrigeant quelques défauts, s’appuie sur le botnet Andromeda pour sa distribution. Surtout, elle s’appuie désormais sur des mécanismes de redirection pour tromper sa victime et l’envoyer vers des répliques de sites Web légitimes. Un concept déjà mis à profit par les opérateurs de Dyre, mais ici adapté : il s’appuie sur la modification malveillante des caches DNS locaux.
Le principe est simple : lorsque la victime cherche à accéder au site Web de sa banque, le cache DNS local renvoie une adresse IP différente de celle du site légitime, celle d’un hôte compromis où y a été installé une réplique.
Le procédé est toutefois trompeur : la barre d’adresse du navigateur Web de la victime affiche bien l’URL attendue, celle à laquelle l’utilisateur est habitué. Et de son côté, la banque ne voit aucune trace d’accès de l’utilisateur à ses services : à aucun moment son navigateur ne s’y est connecté. Ce n’est qu’après l’authentification initiale que la banque est éventuellement susceptible détecter un accès suspect… mais celui-ci a toutes les changes de s’effectuer avec des identifiants parfaitement corrects.
La vigilance de l’utilisateur est donc là doublement importante : pour identifier une pièce jointe malicieuse, d’une part, mais aussi pour rester attentif aux alertes du navigateur Web lors de l’accès à son site Web bancaire. Lequel avertit en cas de tentative de connexion à un site web qui n’est pas celui qu’il prétend être.