Dridex : piratage routeur, redirections Google/Youtube

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Dridex : piratage routeur, redirections Google/Youtube

Message par Malekal_morte » 07 mai 2015 19:32

Un topic interressant sur commentcamarche.net où la personne se plaint d'un probème d'accent circonflexe doublé typique des keylogger (RAT etc).
Mais aussi un problème de publicités en portugais sur Google et Youtube.

L'utilisateur dit avoir ouvert une pièce jointe malicieuse notamment un fichier Word, probablement contenu une Macro qui a permis de télécharger le malware en l'occurence le Trojan Dridex. Ce dernier étant un Trojan Banker (qui est inspiré de Cridex qui a été inspiré de Zbot GameOver).

Dans le cas observé, la partie interressant est que les publicités Google Adsense sont affichées en Portuguais alors que le PC se trouve en France.

Image

De même, Youtube s'affiche en portuguais :

Image

On constate qu'avec la résolution DNS du routeur, les IPs retournés (88.93.174.*) se trouvent aux Luxembourg :
inetnum: 188.93.168.0 - 188.93.175.255
netname: LU-LU-CIX-20090515
descr: LU-CIX Management
country: LU
org: ORG-LM6-RIPE
admin-c: AB4444-RIPE
tech-c: AB4444-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: LUCIX-MNT
mnt-routes: LUCIX-MNT
created: 2009-05-15T09:39:52Z
last-modified: 2009-05-15T09:39:52Z
source: RIPE # Filtered
Une recherche Google montre bien quelques articles parlant de Dridex lié à cette plage d'IP 88.93.174.*

Image

avec OpenDNS, on obtient bien des IPs liées à Google :
inetnum: 194.78.99.0 - 194.78.99.255
netname: GoogleCluster
descr: Google Video Cache
country: BE
admin-c: SN2068-RIPE
tech-c: SN2068-RIPE
status: ASSIGNED PA
mnt-by: SKYNETBE-MNT
mnt-by: SKYNETBE-ROBOT-MNT
created: 2010-03-26T10:08:57Z
last-modified: 2010-03-26T10:08:57Z
source: RIPE # Filtered
Image

Glasswire place le serveur de facebook en italie star.c10r.facebook.comc alors qu'il devrait être aux USA :
star.c10r.facebook.com has address 179.60.192.3

inetnum: 179.60.192/22
status: allocated
aut-num: AS32934
owner: Edge Network Services Ltd
ownerid: US-FAIN-LACNIC
responsible: Diego Veca
address: Willow Rd., 1601, --
address: 94025 - Menlo Park - CA
country: US
phone: +1 650 7393079 []
owner-c: FNA5
tech-c: DIV7
abuse-c: DIV7
inetrev: 179.60.192/22
nserver: A.NS.FACEBOOK.COM
nsstat: 20150502 AA
nslastaa: 20150502
nserver: B.NS.FACEBOOK.COM
nsstat: 20150502 AA
nslastaa: 20150502
created: 20130813
changed: 20130813
Image

NOD32 affiche des alertes d'activité en mémoire de Win32/Dridex.M lorsque l'on tente de surfer sur des sites Google Adsense/Youtube etc
On retrouve le processus du navigateur WEB :
"Operating memory firefox.exe : Win32/Dridex.M"
Un scan en ligne NOD32 retourne la même chose :
Operating memory a variant of Win32/Dridex.M trojan
Image

Image

Il semblerait donc que le malware Win32/Dridex.M pirate les routeurs afin d'effectuer des redirections.
Je vous rappelle ce topic : Hacks routeurs en hausse qui expliquent quoi faire.

Pensez à changer tous vos mots de passe, ces derniers ont été volés puisque vous avez été redirigé.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Dridex: MITB → redirections Google/Youtube

Message par ѠOOT » 07 mai 2015 23:55

Bonjour,

Comme bien d'autres, Dridex est spécialisé dans les vols d'identifiants et de données bancaires. Ils sont capables d'infiltrer un logiciel client tel que le navigateur d'une victime afin de ré-écrire à la volée les pages affichées. Les objectifs peuvent être variés, voler des informations sensibles et/ou manipuler les transactions entre le client et le navigateur et/ou faire de la récupération de formulaire et/ou afficher des publicités, etc... il s'agit d'attaques MITB. Ces codes malveillants sont difficiles à détecter donc particulièrement redoutables. Ce n'est pas du piratage de routeur: vos observations portent sur les symptômes des tentatives de MITB. Les volumes de courriels avec documents piégés ↗ mais Dridex + macros, ça crapahute depuis le Q2 de 2014.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87257
Inscription : 10 sept. 2005 13:57
Contact :

Re: Dridex : piratage routeur, redirections Google/Youtube

Message par Malekal_morte » 08 mai 2015 22:29

oui et les ransomwares chiffreurs aussi qui utilisent ces méthodes... Beaucoup de gens se font avoir.
A noter que dans le cas observé, c'était une entreprise.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Tech, Tips & Tricks »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité