Dridex vise la France avec agressivité

De prétendues factures reçues par dizaines depuis la mi-octobre, jointes à des e-mails de relance venant de prestataires inconnus sous la forme de fichiers Word… C’est ainsi que beaucoup d’internautes français ont été en contact avec le logiciel malveillant Dridex, notamment à la rédaction du MagIT.

Dans un bulletin d’alerte du 23 octobre, mise à jour le 17, le Cert-FR indique constater « à l’échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible ». Et pour cause : certains échantillons récupérés à la rédaction et transférés à Virus Total passent complètement au travers des bases de signatures.

Et le Cert-Fr de préciser que cette vague est comparable à celle déjà observée en juin dernier. Dans les deux cas, la pièce joint contient des macro VBA malicieuses chargées du téléchargement de Dridex – « il est intéressant de noter que sur la plupart des échantillons analysés, le téléchargement du binaire s’effectue sur un port http non standard », une caractéristique qui peut être utilisée pour identifier, à postériori, les postes contaminés sur le réseau.

De son côté, Invincea a indiqué tout récemment observer une résurgence de Dridex, un cheval de Troie spécialisé dans le domaine bancaire. Et de préciser que celui-ci est soupçonné d’avoir causé plus de 30 M$ de pertes dues à des activités frauduleuses, outre-Manche, et plus de 10 M$ aux Etats-Unis.

Ironie du calendrier, le FBI et l’agence britannique de lutte contre la criminalité se sont vantés un peu plus tôt ce mois-ci d’avoir arrêté un opérateur de Dridex et d’avoir « désactivé le logiciel malveillant ». Peu après cette annonce, Avira tempérait en assurant continuer d’observer des signes d’activité de Dridex.

A juste titre, semble-t-il, puisque les mails piégés continuent d’arriver en masse. Invincea indique avec observé, depuis le 22 octobre, « 60 instances de cybercriminels visant les utilisateurs français avec le cheval de Troie bancaire Dridex ». Surtout, la charge malveillante utile est ici signée avec des certificats numériques : « les technologies de sécurité qui font confiance aux exécutables signés vont échouer à bloquer ces attaques ».