17/06/2015

DRIDEX : la cyber-attaque qui mitraille l'Internet

Depuis plusieurs semaines, le monde entier essuie une gigantesque attaque de phishing.

Le phishing consiste à envoyer des emails avec des pièces jointes contenant un virus ou une backdoor.

Les attaquants s'améliorent et savent maintenant rédiger des emails dans toutes les langues et avec des accroches plutôt crédibles.



Il ne s'agit pas ici de "spear-phishing", car les emails ne sont pas ciblés contre ma personne et restent génériques.

Voici le dernier que j'ai reçu ce matin (j'ai reçois 3 ou 5 par jour !) :

Une facture d'un soi-disant fournisseur de backup
Notez que les pirates utilisent des centaines de modèle de mail différents. A chaque fois, le commun dénominateur est un fichier Word à ouvrir avec une facture, une remise, bref, un truc qui attire l'attention ou l'étonnement.

Le scénario est suffisamment plausible pour que les victimes ouvrent la pièce jointe (la fameuse facture au format Word).

Mais pourquoi l'antivirus ne détecte pas ce virus ? J'ai passé le Word dans VirusTotal et aucun résultat ! En fait, le Word ne contient pas de virus ! Il contient un document avec une macro Visual-Basic. Les attaquants reviennent aux basics ! Cette macro joue le rôle de "downloader" et va télécharger la vraie charge utile : un malware nommé DRIDEX.

Ce malware est relativement discret, il ne s'agit pas d'un ransomware, il s'agit d'un banker.

Son but : capter vos mots de passe bancaires et numéros de carte de crédit, et envoyer le tout sur des serveurs en Russie.

Nous sommes ici face à un véritable mitraillage de l'Internet, des millions d'utilisateurs sont déjà infectés.

Dridex est une évolution du malware Cridex et du botnet Zeus.

Un bon nettoyage de carte-mère s'impose ;-)




Aucun commentaire:

Enregistrer un commentaire