DRIDEX, un cheval de troie aux multiples facettes !
Apparu en 2011 dans plusieurs pays de l’U.E., répandu également aux États-Unis, le cheval de troie Dridex a fait parler de lui pour la 1ère fois en France en 2015 au travers de plusieurs campagnes de phishing massives destinées aux organisations françaises.
Spécialisé dans le vol bancaire, Dridex cible surtout les utilisateurs de Windows. Il infecte les ordinateurs sans réelle surprise puisqu’une fois encore, l’intrus se cache dans des fichiers word ou excel (souvent une facture). Ces pièces jointes d’e-mails dont le design est identique aux e-mails semblent envoyées par les structures officielles. Une fois lancés, ces fichiers malveillants requièrent l’autorisation de l’activation de macros. Si l’utilisateur accepte cette macro, le cheval de troie bancaire (Trojan en anglais) s’introduit dans le système…en toute discrétion.
En effet, comme l’explique Olivier Bogaert, commissaire à la Computer Crime Unit en Belgique : “rien de particulier n’est visible mais le virus va commencer à travailler et va lancer le téléchargement d’un autre logiciel malveillant. Ce qui permettra au pirate de prendre connaissance d’informations personnelles ou de données bancaires”. Et d’ajouter que “Dridex (est) un cheval de Troie qui a fait son retour ces derniers mois.” (source : Police Fédérale belge)
Connu également sous les noms de “Bugat” et “Cridex”, lecheval de troie Dridex est, visiblement, une forme de malware qui a su s’adapter et se transformer. En 10 ans, il a connu plusieurs versions, développées sous forme de :
- Contenu hébergé sur des serveurs web compromis ou des partages de fichiers légitimes ;
- Macro VBScript ou Visual Basic cachée dans des documents Microsoft Office ;
- Liens vers un serveur web qui fera exécuter un code JavaScript pour récupérer les binaires.
L’ingénierie sociale est également une technique utilisée par les fraudeurs pour que l’utilisateur ouvre “en toute confiance” la pièce jointe de l’e-mail.
Cheval de troie bancaire mais pas que…
Invisible, ce logiciel malveillant est, en outre, élaboré pour enregistrer les frappes afin de voler les identifiants, mots de passe des utilisateurs et collecter des informations sensibles, etc.
Comment se prémunir de Dridex ?
- Un antivirus à jour !
- Une vigilance optimale : ne pas ouvrir les mails douteux et encore moins les pièces jointes !
- Si l’expéditeur est connu mais que l’e-mail n’était pas “attendu” ou paraît suspect, contacter l’expéditeur par téléphone.
- Désactiver la fonction d’exécution automatique des macros Office.
Vous avez une fonction liée à la gestion des risques dans votre organisation ? Menez une campagne de sensibilisation à la cybersécurité.
