Les cybercriminels diffusant Dridex savent faire preuve de créativité

Par :
Charles Rami

ven, 26/02/2016 - 11:48

Recemment des chercheurs de Proofpoint ont  mis à  jour une nouvelle campagne d’envergure impliquant le cheval de Troie Dridex, aux caractéristiques plutôt inhabituelles, mais entraînant l’envoi ée millions de messages comme à l’accoutumée. Cette campagne induit trois méthodes différentes de distribution de la charge, afin de garantir une efficacité accrue.

La charge finale correspond au  botnet 220 et les utilisateurs basés au Royaume-Uni sont ciblés, en particulier les banques. Des ramifications ont également été identifiées en Australie et en France. Alors que les individus ciblés et le botnet employé n’ont rien d’inédit, on ne peut pas en dire autant des méthodes appliquées par les pirates. Les messages envoyés dans le cadre de cette campagne incluent les éléments suivants :

  • Des pièces jointes au format Word et Excel comportant des macros malveillantes ;
  • Des kits d’exploitation qui entraînent le téléchargement automatique de Dridex lorsque les documents malveillants sont ouverts sur des systèmes vulnérables (voir failles de sécurité CVE-2015-1641 et CVE-2012-0158) ;
  • Des pièces jointes JavaScript zippées semblant être des documents PDF. Cette nouvelle approche est sans précédent, bien qu’il soit toujours question du téléchargement de Dridex lorsqu’un utilisateur ouvre un fichier JavaScript.

Chaque  courrier électronique se caractérise par une méthode différente.

Il est cependant toujours question d’une facture envoyée dans le cadre de la location de toilettes mobiles. Certains utilisateurs considéreront immédiatement de tels messages comme des spams (peu nombreuses sont les personnes à louer des toilettes mobiles régulièrement), mais d’autres ouvriront malgré tout les documents joints, par  pure curiosité, ou quelconque raison, comme expliqué dans l’étude The Human Factor 2015.

Figure 1 : Courrier électronique comportant une facture pour des toilettes mobiles et envoyé dans le cadre d’une campagne impliquant Dridex

Lorsque le fichier JavaScript compressé est ouvert, aucun PDF n’est extrait. Il s’agit plutôt d’un fichier .js :

Figure 2 : Fichier JavaScript en cours d’extraction à partir de la fausse facture zippée

Les études ont également permis de révéler que le fichier JavaScript était conçu pour ne pas être détecté par les antivirus.

Figure 3 : Fichier JavaScript extrait

Sur les systèmes Windows, le fichier JavaScript semble sans danger et s’exécute automatiquement après un clic double :

Figure 4 : Fichier JavaScript sous Windows

Lorsqu’un clic double est effectué sur le fichier JavaScript, le téléchargement du fichier binaire comportant Dridex démarre.

Figure 5 : Fichier JavaScript sous Windows

En général, les campagnes induisant Dridex se caractérisent par des macros qui permettent presque exclusivement de diffuser les charges, comme illustré ci-dessous :

Figure 6 : Courrier électronique avec fichier Excel joint comportant une macro qui permet le téléchargement de Dridex

L’exploit du document semble similaire, mais une seule action est requise par l’utilisateur : ouvrir le document joint sur un système vulnérable. Ceci constitue un processus inhabituel lorsqu’il est question de Dridex.

Figure 7 : Courrier électronique avec document Word joint malveillant

Si l’exploit a pu jouer son rôle, le document suivant est présenté aux utilisateurs :

Figure 8 : Exploit ayant permis de diffuser Dridex avec succès

Ce type d’attaque, qui revient en fait à simuler l’envoi d’une commande de programmation basique de type Hello World, est particulièrement efficace sur les systèmes vulnérables. Ce document est très probablement personnalisable et son contenu est destiné à rendre l’utilisateur moins suspicieux, ce qui n’aurait pas été le cas avec du texte de programmation.

Les leçons à retenir sont les suivantes :

  1. Les pirates propageant Dridex savent faire preuve de créativité lorsqu’il est question de diffuser leurs charges. En outre, ils n’ont de cesse de développer de nouveaux procédés permettant de ne pas être confondus par les antivirus et autres mesures de détection.
  2. La curiosité peut se révéler dangereuse : il est toujours important de rappeler aux utilisateurs qu’il ne faut pas ouvrir les pièces jointes suspectes ou inhabituelles.

Indicateurs de compromission

Charges téléchargées par macro

URL

Adresses IP de type Command and Control

  • 91.239.232.145:1743
  • 103.245.153.70:343
  • 185.24.92.236:1743
  • 144.76.73.3:1743
  • 103.23.154.184:443
  • 141.89.179.45:443
  • 148.202.223.222:443
  • 174.70.100.90:443
  • 176.53.0.103:443
  • 181.177.231.245:443
  • 181.53.255.145:444
  • 185.47.108.92:443
  • 188.126.116.26:443
  • 193.17.184.250:443
  • 194.126.100.220:443
  • 194.95.134.106:443
  • 200.57.183.176:443
  • 41.38.18.230:443
  • 41.86.46.245:443
  • 46.183.66.210:443
  • 5.9.37.137:444
  • 62.109.133.248:444

A propos de l'auteur

Charles Rami
SE Manager SEMEA chez Proofpoint