Dridex : piratage routeur, redirections Google/Youtube

[Malekal_morte]

Un topic interressant sur commentcamarche.net où la personne se plaint d'un probème d'accent circonflexe doublé typique des keylogger (RAT etc).
Mais aussi un problème de publicités en portugais sur Google et Youtube.

L'utilisateur dit avoir ouvert une pièce jointe malicieuse notamment un fichier Word, probablement contenu une Macro qui a permis de télécharger le malware en l'occurence le Trojan Dridex. Ce dernier étant un Trojan Banker (qui est inspiré de Cridex qui a été inspiré de Zbot GameOver).

Dans le cas observé, la partie interressant est que les publicités Google Adsense sont affichées en Portuguais alors que le PC se trouve en France.



De même, Youtube s'affiche en portuguais :



On constate qu'avec la résolution DNS du routeur, les IPs retournés (88.93.174.*) se trouvent aux Luxembourg :

inetnum: 188.93.168.0 - 188.93.175.255
netname: LU-LU-CIX-20090515
descr: LU-CIX Management
country: LU
org: ORG-LM6-RIPE
admin-c: AB4444-RIPE
tech-c: AB4444-RIPE
status: ALLOCATED PA
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: LUCIX-MNT
mnt-routes: LUCIX-MNT
created: 2009-05-15T09:39:52Z
last-modified: 2009-05-15T09:39:52Z
source: RIPE # Filtered

Une recherche Google montre bien quelques articles parlant de Dridex lié à cette plage d'IP 88.93.174.*



avec OpenDNS, on obtient bien des IPs liées à Google :

inetnum: 194.78.99.0 - 194.78.99.255
netname: GoogleCluster
descr: Google Video Cache
country: BE
admin-c: SN2068-RIPE
tech-c: SN2068-RIPE
status: ASSIGNED PA
mnt-by: SKYNETBE-MNT
mnt-by: SKYNETBE-ROBOT-MNT
created: 2010-03-26T10:08:57Z
last-modified: 2010-03-26T10:08:57Z
source: RIPE # Filtered

Glasswire place le serveur de facebook en italie star.c10r.facebook.comc alors qu'il devrait être aux USA :

star.c10r.facebook.com has address 179.60.192.3

inetnum: 179.60.192/22
status: allocated
aut-num: AS32934
owner: Edge Network Services Ltd
ownerid: US-FAIN-LACNIC
responsible: Diego Veca
address: Willow Rd., 1601, --
address: 94025 - Menlo Park - CA
country: US
phone: +1 650 7393079 []
owner-c: FNA5
tech-c: DIV7
abuse-c: DIV7
inetrev: 179.60.192/22
nserver: A.NS.FACEBOOK.COM
nsstat: 20150502 AA
nslastaa: 20150502
nserver: B.NS.FACEBOOK.COM
nsstat: 20150502 AA
nslastaa: 20150502
created: 20130813
changed: 20130813

NOD32 affiche des alertes d'activité en mémoire de Win32/Dridex.M lorsque l'on tente de surfer sur des sites Google Adsense/Youtube etc
On retrouve le processus du navigateur WEB :

"Operating memory firefox.exe : Win32/Dridex.M"

Un scan en ligne NOD32 retourne la même chose :

Operating memory a variant of Win32/Dridex.M trojan

Il semblerait donc que le malware Win32/Dridex.M pirate les routeurs afin d'effectuer des redirections.
Je vous rappelle ce topic : Hacks routeurs en hausse qui expliquent quoi faire.

Pensez à changer tous vos mots de passe, ces derniers ont été volés puisque vous avez été redirigé.

[ѠOOT]

Bonjour,

Comme bien d'autres, Dridex est spécialisé dans les vols d'identifiants et de données bancaires. Ils sont capables d'infiltrer un logiciel client tel que le navigateur d'une victime afin de ré-écrire à la volée les pages affichées. Les objectifs peuvent être variés, voler des informations sensibles et/ou manipuler les transactions entre le client et le navigateur et/ou faire de la récupération de formulaire et/ou afficher des publicités, etc... il s'agit d'attaques MITB. Ces codes malveillants sont difficiles à détecter donc particulièrement redoutables. Ce n'est pas du piratage de routeur: vos observations portent sur les symptômes des tentatives de MITB. Les volumes de courriels avec documents piégés ↗ mais Dridex + macros, ça crapahute depuis le Q2 de 2014.

[Malekal_morte]

oui et les ransomwares chiffreurs aussi qui utilisent ces méthodes... Beaucoup de gens se font avoir.
A noter que dans le cas observé, c'était une entreprise.