Vagues d’attaques Facture Macro Word virus Dridex

VIRUS-00035-altospam

Grosses attaques Dridex par l’envoi de fausses factures DOC

Depuis plus d’un mois, nous remarquons des vagues importantes d’envoi de spams dont le sujet du message fait référence à une facture impayée. Les messages en question sont écrits dans un français correct, sans fautes d’orthographe, contrairement à la plupart des spams, et contiennent un document Microsoft Word DOC en pièce jointe. Il existe également des variantes de fichiers en DOCX, DOCM, XLS et XML abritant également une Macro. La notion d’urgence et l’intitulé du message incitent à l’ouverture du document. Le botnet utilisé pour l’envoi de ces spams est : «  Botnet 120 ». À titre d’exemple, voici quelques sujets récurrents utilisés (xxxxxx représente des chiffres) :

Facture XXXXXXXe numero: Nxxxxxx/xxxxxx
DUPLICATA FACTURE xxxxxx/xxxxxx
FACTURES ECHUES xxxxxx/xxxxxx
RELANCE FACTURES xxxxxx/xxxxxx
Facture xxxxxx/xxxxxx
Votre facture xxxxxx/xxxxxx

 

Étrangement, certains noms de domaines d’expédition sont plus utilisés que d’autres lors de ces campagnes. Les domaines : airtelbroadband.in et ttnet.com.tr apparaissent en tant que domaines expéditeurs dans une grande proportion des emails reçus ! Pourquoi les spammeurs n’utilisent-ils pas des domaines plus francophones alors qu’un effort important est fait justement sur la crédibilité de la campagne, ce serait si simple pour eux de se faire passer pour des utilisateurs de FAI français par exemple !

Principaux domaines expéditeurs de l'attaque

Les vagues de spams sont également très localisées au niveau horaire de diffusion, plus de 85% des emails concernés sont reçus entre 10h30 et 12h00, cela n’est certainement pas un hasard.

Heures de réception des spams de l'attaque Dridex

Le fichier joint aux multiples variantes (signatures différentes) comprend une macro VBA qui s’exécute à l’ouverture du fichier et contient un code malveillant polymorphe non détecté par la plupart des antivirus. L’attaque parvient à déjouer les systèmes de protection basés sur la signature et sur la réputation, ainsi que les techniques de sandboxing comportemental. Ce code VisualBasic va télécharger par une succession de procédures le virus Dridex (ou Drixed chez certains antivirus et Microsoft). Selon les versions, le téléchargement de Dridex peut s’effectuer soit directement par la macro VBA, soit plus généralement par l’intermédiaire d’un script VBS téléchargé sur le site : « pastebin.com » qui à son tour procédera au téléchargement et à l’exécution du malware. Ce script intègre plusieurs méthodes d’obfuscation, des techniques d’anti-désassemblage et d’autres de détection de sandbox. Sa fonction principale va consister à déchiffrer puis décompresser un nouvel exécutable, la charge utile, cachée dans les ressources du premier exécutable. D’autre part, le VBS intermédiaire procède au téléchargement de deux images sur un site pirate afin de permettre au botmaster de Botnet 120 d’être informé de l’avancée de la propagation de son attaque avant et après téléchargement et exécution du malware.

 

Dridex fait partie depuis longtemps du panorama des malwares bancaires. Cependant, la campagne actuelle l’a remis au-devant de la scène, d’autant que très peu d’antivirus sont capables de le détecter et qu’un grand nombre de personnes se retrouvent infectées. Ce virus principalement connu comme étant un trojan bancaire (récupération de données bancaires) a également des fonctionnalités de logiciel espion ou encore un cryptoware. Le décodage des versions de Dridex analysées dans cette vague de spams, montre qu’il cible principalement les banques françaises. Il est notamment capable de lire les codes d’accès et de faire du keylogging, malgré les contournements de clavier virtuels mis en place sur les sites des banques.

Les attaques les plus importantes que nous avons recensées ont été aux dates suivantes : du 30 juin au 1er juillet 2015, du 6 au 7 juillet 2015, du 17 juillet 2015, du 20-21 juillet 2015 et le 23 juillet 2015.

Alerte du CERTFR pour plus de détails : http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-024/

Explications détaillées du fonctionnement de l’attaque : http://christophe.rieunier.name/securite/Dridex/20150608_dropper/Dridex_dropper_analysis_fr.php

 

Que faire en cas de piratage de mon poste ?

Il ne faut pas ouvrir le fichier Word intégré au mail, ce fichier lance une Macro qui installera automatiquement le virus sur votre poste. Si malgré tout vous venez juste d’ouvrier le fichier en question, n’éteignez pas votre ordinateur, déconnectez-le d’Internet et contactez votre service informatique.

Comment détecter la présence du virus ? 

Le malware Dridex se détecte par la présence d’une des deux clés de registre suivantes :

– HKEY_USERS*SoftwareMicrosoftWindowsCurrentVersionRunwwnotify.
Attention, cette clé n’est visible que si l’ordinateur est en mode sans échec

– Ou par la présence de la clé registre de configuration de Dridex, visible même en dehors du mode sans échec : HKEY_USERS*SoftwareMicrosoftWindowsCurrentVersionExplorerCLSID<chiffres aléatoires>ShellFolder<chiffres aléatoires>

Comment supprimer le virus manuellement ?

– Passer en mode « sans échec minimum » en exécutant « msconfig », onglet « Démarrer », cocher « Démarrage sécurisé » puis option « Minimal » et redémarrer l’ordinateur,
– Supprimer la clé malveillante « HKCUSoftwareMicrosoftWindowsCurrentVersionRunwwnotify » ainsi que le fichier « tmp » vers lequel elle pointe,
– Redémarrer en mode normal en exécutant « msconfig », onglet « Général », cocher « Démarrage normal », puis rebooter.

 

Comment Altospam bloque ces attaques ?

Dès le début de l’attaque, Altospam a été en mesure de bloquer ces emails afin que nos clients ne soient pas pollués par ces malwares. Pour ce faire nous nous appuyons sur différentes couches d’analyse :

– 5 antivirus complémentaires analysent les emails et leurs pièces jointes,
– Altospam intègre un système propriétaire de protection contre les fichiers suspects : https://www.altospam.com/actualite/2014/02/la-forteresse-daltospam-les-malwares/
– D’autre part des filtres antispam spécifiques ont été intégrés : ces filtres s’appuient sur différentes composantes du mail comme la présence de certains sujets spécifiques à l’attaque, de pièces jointes en .doc, .xls, docx, .docm, .xml…. et de son contenu,
– Ces règles spécifiques sont croisées avec le système de détection de fichiers suspects pour accroitre l’efficacité globale,
– Notre système automatisé de suivi d’attaques en temps réel permet de contrôler l’efficacité de nos filtres et de les faire évoluer en fonction des différentes alternatives.
– [MAJ dec 2015] : Altospam a intégré une nouvelle technologie d’analyse automatique des macros à la volée, afin de compléter son arsenal antivirus: reconstruction et désobfuscation  et d’analyse de scripts (rechercher d’éléments douteux: auto-exécution, téléchargement, lancement d’exécutables, etc…).

 

En conclusion, nous avons tout mis en place au niveau d’Altospam pour bloquer ces attaques et mettons également tout en œuvre pour pouvoir être proactifs en cas d’attaques de variantes. Nous conseillons également à la prudence : n’ouvrez pas de fichier Microsoft Word suspect dont vous ne connaissez pas l’expéditeur.

Si vous êtes victime de ce type d’attaques, n’hésitez pas à tester gratuitement notre service de protection de la messagerie à l’adresse : ici . Vous pouvez aussi contacter un de nos revendeurs pour qu’il vous propose notre solution : ici

 

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …