Depuis quelques jours, les entreprises françaises subissent une attaque visant à les infecter par un trojan bancaire connu sous le nom de Dridex. Une attaque de forte ampleur qui a fait l’objet d’une alerte de la part de l’ANSSI et du CERT FR.
Le G DATA SecurityLabs a disséqué cette attaque et livre son analyse.
Infection en 4 étapes
-L’attaque commence par un spam en français. Le contenu de l’email évoque une facture, une commande soi-disant effectuée ou une numérisation d’un document (voir capture jointe). En pièce jointe se trouve le document en question : un document Microsoft Office. Dans certains emails analysés, la pièce jointe intègre l’adresse email du receveur du spam, ce qui peut laisser penser qu’il s’agit effectivement d’un vrai document. Dans les attaques en français étudiées, les documents attachés sont vides à l’ouverture, mais Word propose l’activation des macros.
-Si l’utilisateur active la macro, il déclenche la deuxième phase : le téléchargement d’un premier code. Le site pointé est Pastebin.com, un service gratuit dans lequel il est possible de stocker du texte et le partager grâce au lien vers la page. Il est utilisé généralement par des développeurs pour partager des codes sources. Les attaquants ont vraisemblablement choisi cette page pour son caractère légitime et il est peu probable que les solutions de sécurité l’inscrivent dans une liste noire. Il est très facile de stocker du code sur cette plateforme, ainsi l’usage de ce site s’avère très pratique.
-La troisième étape consiste donc à charger ce code malveillant (le Payload), un VBS (Visual Basic Script) qui va alors télécharger un exécutable, l’installer dans %APPDATA% et l’exécuter.
-Vient ensuite la quatrième étape : le téléchargement du downloader, lui-même dédié au téléchargement du code malveillant final.
Dans les cas analysés durant les derniers jours, le code téléchargé est le trojan bancaire Dridex. Mais en fonction du bon vouloir de l’attaquant, le downloader peut être commandé afin de télécharger un autre programme malveillant. Ainsi, dans plusieurs autres emails en français détectés ces derniers jours, certains downloaders ne téléchargeaient aucun code, mais étaient en attente.
Conclusion
Les auteurs du malware sont dans la recherche constante d’innovations pour escroquer les utilisateurs, et tenter de contourner les solutions de sécurité. Dans ce cas, ils utilisent un site internet légitime dans le processus d’infection que les produits de sécurité n’inscriraient pas dans une liste noire. Ils utilisent des documents Microsoft Office spécifiques pour contourner les analyses de certains antivirus. Les produits G DATA détectent ces documents.
Les conseils du G DATA SecurityLabs
N’ouvrez jamais les pièces jointes provenant d’utilisateurs inconnus. Soyez attentifs quand il s’agit de factures.
Avant d’ouvrir les pièces jointes, voici les questions à vous poser :
– Ai-je vraiment passé une commande?
– Le site internet sur lequel j’ai passé commande a-t-il utilisé la même langue que cet email? (un site internet français ne vous enverra certainement pas d’email en anglais)
– L’email contient-il des fautes d’orthographe ou des tournures étranges ?
– Cet email contient-il des informations personnelles, telles que mon nom, mon adresse, mon numéro de client, mon nom d’utilisateur ou toute autre information ?
En cas de doute, ne pas ouvrir la pièce jointe !