Risque(s)

Installation d'un logiciel malveillant de type dridex.

Systèmes affectés

Tous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.

Résumé

Depuis la mi-octobre 2015, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Cette vague est similaire à ce qui a déjà pu être observé au mois de juin de cette même année et décrit dans le bulletin d'actualité CERTFR-2015-ACT-024 (

http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-024/index.html
).

Ces pourriels embarquent des documents Microsoft Office contenant des macros VBA malveillantes. Elles ont pour but d'infecter la victime avec un logiciel malveillant connu initialement sous le nom de Dridex.

Ces pourriels sont très souvent rédigés dans un français sans faute. Le sujet et le contenu du pourriel mentionnent des problèmes de facturation, dans la plupart des cas, pour inciter la victime à ouvrir la pièce jointe. Dans certains cas il est aussi fait référence à un document scanné.

Nous avons également pu constater la présence de pourriels rédigés en langue anglaise embarquant des documents Microsoft Excel.

D'après les échantillons que le CERT-FR a observés, le téléchargement de Dridex s'effectue par l'intermédiaire d'une macro VBA ayant pour objectif le téléchargement du binaire à partir d'un serveur malveillant. Il est intéressant de noter que sur la plupart des échantillons aujourd'hui analysés, le téléchargement du binaire s'effectue sur un port HTTP non standard. Cette caractéristique réseau permet de détecter pour cette variante les postes ayant exécuté la macro citée précédemment.

À l'aide les échantillons remontés, le CERT-FR a constaté que les URLs de téléchargement du binaire Dridex sont les suivantes (toutes les URLs suivantes ont été démilitarisées par l'adjonction du suffixe ._BAD_ aux noms de domaines et adresses IP) :

  • http://5.2.199.30_BAD_:8080/uniq/load.php
  • http://84.200.52.52_BAD_:8080/uniq/load.php
  • http://93.170.104.168_BAD_:8080/uniq/load.php
  • http://113.30.152.165_BAD_:8080/uniq/load.php
  • http://113.30.152.167_BAD_:8080/uniq/load.php
  • http://168.243.33.195_BAD_:8080/uniq/load.php
  • http://178.62.7.183_BAD_:8080/uniq/load.php
  • http://195.37.231.2_BAD_:8080/uniq/load.php
  • http://199.175.55.116_BAD_:8080/uniq/load.php
  • http://webmatique.info_BAD_/35436/5324676645.exe
  • http://www.tokushu.co.uk_BAD_/56475865/ih76dfr.exe
  • http://113.30.152.170_BAD_:8180/uniq/load.php
  • http://186.47.80.90_BAD_:8080/images/getimg.php
  • http://117.239.73.244_BAD_:8880/images/getimg.php
  • http://178.33.167.120_BAD_:8880/images/getimg.php
  • http://landprosystems.com_BAD_/34g3f3g/68k7jh65g.exe
  • http://103.252.100.44_BAD_:8880/Citrix/applet.php
  • http://68.169.59.208_BAD_:8880/Citrix/applet.php
  • http://117.239.73.244_BAD_:8880/Citrix/applet.php
  • http://86.34.133.90_BAD_:8180/Citrix/applet.php
  • http://78.129.133.249_BAD_:8880/Citrix/applet.php
  • http://103.252.100.44_BAD_:8880/benzin/ai76.php
  • http://178.32.136.167_BAD_:8880/benzin/ai76.php
  • http://68.169.59.208_BAD_:8880/benzin/ai76.php
  • http://skredman.webz.cz_BAD_/334g5j76/897i7uxqe.exe
  • http://novyzeland2013.webzdarma.cz_BAD_/334g5j76/897i7uxqe.exe
  • http://187.5.6.136_BAD_:8008/sezamstreet/ziliboba.php
  • http://203.172.180.195_BAD_:8008/sezamstreet/ziliboba.php
  • http://1.179.170.7_BAD_:8008/sezamstreet/ziliboba.php
  • http://mgming.rs_BAD_/87yte55/6t45eyv.exe
  • http://www.davidcaballero.com_BAD_/87yte55/6t45eyv.exe
  • http://bbofilinc.com_BAD_/ builder2012/87yte55/6t45eyv.exe
  • http://www.clemenciaortiz.com_BAD_/87yte55/6t45eyv.exe
  • http://sanoko.jp_BAD_/5t546523/lhf3f334f.exe
  • http://aniretak.wz.cz_BAD_/5t546523/lhf3f334f.exe
  • http://piotrektest.cba.pl_BAD_/45yfqfwg/6ugesgsg.exe
  • http://wmdrewniana8.cba.pl_BAD_/45yfqfwg/6ugesgsg.exe
  • http://williamcannady.com_BAD_/345u754/433fd.exe
  • http://hardware-software.xf.cz_BAD_/345u754/433fd.exe

Enfin, les échantillons Dridex ainsi récupérés tentent de communiquer avec les serveurs suivants :

  • 5.63.88.100:4403
  • 5.187.4.183:473
  • 31.29.106.75:443
  • 37.128.132.96:443
  • 41.38.18.230:443
  • 45.55.136.31:473
  • 46.31.43.57:443
  • 67.211.95.228:5445
  • 68.169.54.179:6446
  • 74.208.12.150:444
  • 75.99.13.123:8443
  • 78.243.156.115:444
  • 89.32.145.12:4483
  • 89.189.174.19:444
  • 93.185.75.21:443
  • 103.251.90.43:5445
  • 106.187.38.36:473
  • 107.170.237.112:473
  • 118.174.31.57:444
  • 119.47.112.227:473
  • 124.219.79.244:443
  • 128.199.122.196:6446
  • 130.185.189.81:443
  • 157.252.245.49:473
  • 158.85.92.20:443
  • 162.13.137.236:444
  • 168.187.96.115:443
  • 183.81.166.5:443
  • 185.48.144.4:443
  • 188.21.18.226:443
  • 192.130.75.146:444
  • 193.251.76.63:443
  • 195.154.251.123:473
  • 195.251.250.37:448
  • 198.50.205.130:443
  • 198.74.58.153:5445
  • 200.29.90.162:443
  • 202.129.57.130:443
  • 202.157.171.198:444
  • 217.160.110.232:444
  • 221.132.35.56:8843

Solution

Afin de se protéger contre ce type de menace, les préconisations habituelles sont rappelées :

  • ne pas ouvrir les documents en pièces jointes d'un message électronique non sollicités ;
  • désactiver l'exécution automatique des macros dans les suites bureautiques ;
  • maintenir le système d'exploitation et l'antivirus du poste de travail à jour.

La désactivation de l'exécution automatique des macros Office se paramètre dans le menu suivant :

Fichier / Options / Centre de gestion de la confidentialité / Paramètre du Centre de gestion de la confidentialité / Paramètres des macros / Désactiver toutes les macros avec notifications