Depuis plusieurs jours, la France comme d'autres pays est sévèrement arrosée de pourriels qui contiennent en pièce jointe des documents Microsoft Word & Excel piégés par des macros malveillantes qui font télécharger et exécuter silencieusement Dridex, un programme spécialisé dans le vol d'identifiants et de données bancaires. Ce n'est pas la première fois et ce ne sera pas la dernière ; déjà en février 2015, j'abordais le sujet "Documents malveillants : macros-commandes VBA + PowerShell" ; les mois suivants plusieurs alertes avaient été émises. ( France : recrudescence des attaques par macros malveillantes ).
Le 15 juin 2015, le CERT-FR a publié un bulletin d'information ( section 2 ) dans lequel est pointé un taux de blocage par passerelles antispam relativement faible. "Les formats MIME HTML & XML ont l'avantage pour les attaquants d'être souvent moins bien détectés par les antivirus." Vraiment? Entre nous si c'est le cas, remplacez immédiatement votre solution de sécurité.
Dridex n'est pas le seul à utiliser cette méthode, Dyre / Dyreza, un programme également spécialisé dans le vol de données bancaires, utilise aussi les documents piégés avec macros. Dyre est généralement distribué par Upatre. Celui-ci est encore plus fourbe du fait qu'il soit capable d'infecter les relations de confiance en usurpant leurs identités. La victime devient à son tour "expéditeur" des futurs courriels piégés.
"Une méthode particulièrement perfide est notamment utilisée pour propager ce maliciel. Lorsqu'une machine est infectée, des e-mails contenant le maliciel seront envoyés à travers le compte de la victime et à son nom, à tous ses contacts. Ainsi, l'e-mail contenant une pièce jointe malicieuse atteint-il l'ensemble des contacts d'une personne ou entreprise. Etant donné que ces derniers connaissent l'expéditeur de l'e-mail et lui font confiance, il y a de fortes chances pour que ces personnes n'ouvrent la pièce jointe, soient infectées, puis mettent par la suite en danger leurs propres connaissances ou clients."
( Suisse : MELANI - Alerte : propagation massive )
Cette technique engendre un cercle vicieux et c'est ce qui explique en partie pourquoi il a déjà occasionné de sérieux dommages. ( Rapport IBM : The Dyre wolf: Attacks on corporate banking accounts )
Concernant Dridex, jusqu'ici je n'ai pas écrit grand chose sur ce forum car c'est un sujet bien connu et assez médiatisé. Ma seule contribution porte sur une rectification autour d'une information erronée concernant de possibles "piratages de routeur". Aujourd'hui, ce qui me pousse à ouvrir le sujet c'est avant tout de relayer les alertes et promouvoir de nouveaux outils qui peuvent s'avérer utiles.
L'outil de CERT LEXSI permet de : vérifier, par rapport à des marqueurs, si une machine est infectée par DRIDEX ( lire les explications d'usage ). Pour les Administrateurs, un script PowerShell dridex.ps1 à exécuter sur tous les postes infectés est également disponible. En cas de doutes, vérifiez vos machines. Ces cas sont nombreux sur les forums d'entre-aide ; dernièrement sur Malekal.com : Suis-je potentiellement infecté par le "virus" dridex ? et sur l'espace de CommentÇaMarche.
Just-Metadata de Chris Truncer s'adresse principalement aux administrateurs. L'outil permet d'utiliser les indicateurs de compromission (IOC) de Dridex comme expliqué dans cet exemple.
N'attendez pas la prochaine campagne de Dridex pour vous faire plumer le portefeuille, informez-vous. Vous avez des courriels avec fichiers suspects ( Documents Office, etc.. ) ? Zippez et envoyez vos fichiers via le formulaire d'envoi de Malekal. Les échantillons sur MDB sont à disposition des communautés et sont systématiquement scannés, analysés, partagés,.. Vous participez ainsi activement à la lutte.
