Dridex évolue en profitant d’un nouveau vecteur d’attaque

Dridex avait été utilisé dans le cadre d’une vaste campagne visant les utilisateurs de services de banque en ligne français à l’automne 2015. Il infectait alors ses victimes par le biais de prétendues factures envoyées en masse par courrier électronique : provenant de prestataires inconnus et transmises sous la forme de fichiers Word, Dridex s’appuyait sur des macros VBA malicieuses pour assurer son chargement. Le Cert-FR s’était fendu d’un bulletin d’alerte, faisant au passage référence à une campagne lancée au mois de juin précédent.

Ce cheval de Troie avait été de retour en février 2016, visant notamment l’industrie, les télécoms et les services financiers, notamment aux Etats-Unis et au Royaume-Uni. Il n’en était alors qu’à sa version 3, « la plus stable et résiliente à ce jour », relèvent les équipes de la division X-Force d’IBM. Mais une quatrième version vient de faire son apparition, dans des campagnes visant pour l’heure principalement les clients des banques britanniques. Et celle-ci n’a rien de négligeable.

De fait, selon les chercheurs d’IBM, Dridex v4 met en œuvre AtomBombing, un vecteur d’injection de code découvert à l’automne dernier par les équipes d’EnSilo et qui affecte toutes les versions du système d’exploitation de Microsoft depuis Windows 2000.

Dans un billet de blog, Tal Liberman, directeur d’équipe de recherche chez EnSilo, jeune acteur de la détection et de la remédiation sur le point de terminaison (EPP), détaillait une méthode consistant à détourner les Atom Tables, l’un des mécanismes fondamentaux de Windows : « ces tables sont fournies par le système d’exploitation pour permettre aux applications de stocker et accéder à des données. Ces tables peuvent également être utilisées pour partager des données entre applications ». Et de résumer la découverte de ses équipes : « nous avons trouvé qu’un acteur malveillant peut écrire du code malicieux dans une atom table et forcer un programme légitime à récupérer ce code. Le programme légitime, contenant alors le code malicieux, peut être manipulé pour l’exécuter ».

Et selon les équipes de la X-Force, les auteurs de Dridex v4 « ont modifié leur méthode d’injection, utilisant la première étape de la technique AtomBombing ». Mais uniquement pour injection la charge malveillante utile : ils « utilisent une méthode différente pour obtenir les permissions d’exécution et pour la lancer ». Reste qu’il s’agit tout de même « d’une première dans le domaine des chevaux de Troie bancaires, probablement conçue pour aider Dridex à échapper à la détection ».

Pour les chercheurs d’IBM, « Dridex continue d’évoluer, et 2017 sera probablement une nouvelle année de changement pour ce cheval de Troie ». Tout cela pour être encore plus furtif et efficace. En début d’année, les équipes de Flashpoint avaient fait état d’une mouture conçue pour contourner le mécanisme de protection UAC de Windows.