Botnet Dridex

Termes, expressions, concepts...

Modérateur: Modérateurs et Modératrices

Botnet Dridex

Messagede nickW » 24 Oct 2015, 11:46

Campagne de messages électroniques non sollicités de type Dridex


Depuis la mi-octobre 2015, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Cette vague est similaire à ce qui a déjà pu être observé au mois de juin de cette même année et décrit dans le bulletin d'actualité CERTFR-2015-ACT-024:
http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html

Ces pourriels embarquent des documents Microsoft Office Word ou Excel contenant des macros VBA malveillantes. Elles ont pour but d'infecter la victime avec un logiciel malveillant connu initialement sous le nom de Dridex.



Botnet Dridex
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Botnet Dridex

Messagede pierre » 25 Oct 2015, 15:53

Bonjour,

Je reproduit ici ce que j'écrivais sur un autre forum :

Si je regarde mon Thunderbird, il dispose de 18 plugins (dont les habituels Java, Flash, Shockwave, Silverlight, les lecteurs Office, des trucs suspects comme Windows Activation Technologies ou Windows Live, etc. ... 100% des plugins sont désactivés chez moi (et je ne lit les messages qu'en code source ou en texte - et le volet de visualisation des messages est toujours fermé car il n'est pas question de me balader dans la liste des messages et que ceux-ci s'ouvrent automatiquement si le volet de visualisation est ouvert).

Oui, je sais, ce n'est pas drôle ni fun (on est à l'opposé d'un IncrediMail), mais, le Web, actuellement, ce n'est ni drôle ni fun.

Botnet Dridex
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27533
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Botnet Dridex

Messagede pierre » 27 Nov 2015, 17:40

Campagne de messages électroniques non sollicités de type Dridex (corrigée le 23 octobre 2015)

Version initiale de l'avis
23 octobre 2015

Source(s)
Voir Documentation

Qu'est-ce qu'un CVE | Full disclosure | Zero Day | Tromperie et Full disclosure



Mise à jour de l'alerte (Clôture de l'alerte)
26 novembre 2015

1 - Risque(s)
Installation d'un logiciel malveillant de type Dridex.

2 - Systèmes affectés
Tous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.

3 - Résumé
Depuis la mi-octobre 2015, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Cette vague est similaire à ce qui a déjà pu être observé au mois de juin de cette même année et décrit dans le bulletin d'actualité CERTFR-2015-ACT-024 ( http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html ).

Ces pourriels embarquent des documents Microsoft Office contenant des macros VBA malveillantes. Elles ont pour but d'infecter la victime avec un logiciel malveillant connu initialement sous le nom de Dridex.

Ces pourriels sont très souvent rédigés dans un français sans faute. Le sujet et le contenu du pourriel mentionnent des problèmes de facturation, dans la plupart des cas, pour inciter la victime à ouvrir la pièce jointe. Dans certains cas il est aussi fait référence à un document scanné.

Nous avons également pu constater la présence de pourriels rédigés en langue anglaise embarquant des documents Microsoft Excel.

D'après les échantillons que le CERT-FR a observés, le téléchargement de Dridex s'effectue par l'intermédiaire d'une macro VBA ayant pour objectif le téléchargement du binaire à partir d'un serveur malveillant. Il est intéressant de noter que sur la plupart des échantillons aujourd'hui analysés, le téléchargement du binaire s'effectue sur un port HTTP non standard. Cette caractéristique réseau permet de détecter pour cette variante les postes ayant exécuté la macro citée précédemment.

À l'aide les échantillons remontés, le CERT-FR a constaté que les URLs de téléchargement du binaire Dridex sont les suivantes (toutes les URLs suivantes ont été démilitarisées par l'adjonction du suffixe ._BAD_ aux noms de domaines et adresses IP) :

http://5.2.199.30_BAD_:8080/uniq/load.php
http://84.200.52.52_BAD_:8080/uniq/load.php
http://93.170.104.168_BAD_:8080/uniq/load.php
http://113.30.152.165_BAD_:8080/uniq/load.php
http://113.30.152.167_BAD_:8080/uniq/load.php
http://168.243.33.195_BAD_:8080/uniq/load.php
http://178.62.7.183_BAD_:8080/uniq/load.php
http://195.37.231.2_BAD_:8080/uniq/load.php
http://199.175.55.116_BAD_:8080/uniq/load.php
http://webmatique.info_BAD_/35436/5324676645.exe
http://www.tokushu.co.uk_BAD_/56475865/ih76dfr.exe
http://113.30.152.170_BAD_:8180/uniq/load.php
http://186.47.80.90_BAD_:8080/images/getimg.php
http://117.239.73.244_BAD_:8880/images/getimg.php
http://178.33.167.120_BAD_:8880/images/getimg.php
http://landprosystems.com_BAD_/34g3f3g/68k7jh65g.exe
http://103.252.100.44_BAD_:8880/Citrix/applet.php
http://68.169.59.208_BAD_:8880/Citrix/applet.php
http://117.239.73.244_BAD_:8880/Citrix/applet.php
http://86.34.133.90_BAD_:8180/Citrix/applet.php
http://78.129.133.249_BAD_:8880/Citrix/applet.php
http://103.252.100.44_BAD_:8880/benzin/ai76.php
http://178.32.136.167_BAD_:8880/benzin/ai76.php
http://68.169.59.208_BAD_:8880/benzin/ai76.php
http://skredman.webz.cz_BAD_/334g5j76/897i7uxqe.exe
http://novyzeland2013.webzdarma.cz_BAD_ ... i7uxqe.exe
http://187.5.6.136_BAD_:8008/sezamstreet/ziliboba.php
http://203.172.180.195_BAD_:8008/sezams ... liboba.php
http://1.179.170.7_BAD_:8008/sezamstreet/ziliboba.php
http://mgming.rs_BAD_/87yte55/6t45eyv.exe
http://www.davidcaballero.com_BAD_/87yte55/6t45eyv.exe
http://bbofilinc.com_BAD_/ builder2012/87yte55/6t45eyv.exe
http://www.clemenciaortiz.com_BAD_/87yte55/6t45eyv.exe
http://sanoko.jp_BAD_/5t546523/lhf3f334f.exe
http://aniretak.wz.cz_BAD_/5t546523/lhf3f334f.exe
http://piotrektest.cba.pl_BAD_/45yfqfwg/6ugesgsg.exe
http://wmdrewniana8.cba.pl_BAD_/45yfqfwg/6ugesgsg.exe
http://williamcannady.com_BAD_/345u754/433fd.exe
http://hardware-software.xf.cz_BAD_/345u754/433fd.exe

Enfin, les échantillons Dridex ainsi récupérés tentent de communiquer avec les serveurs suivants :

5.63.88.100:4403
5.187.4.183:473
31.29.106.75:443
37.128.132.96:443
41.38.18.230:443
45.55.136.31:473
46.31.43.57:443
67.211.95.228:5445
68.169.54.179:6446
74.208.12.150:444
75.99.13.123:8443
78.243.156.115:444
89.32.145.12:4483
89.189.174.19:444
93.185.75.21:443
103.251.90.43:5445
106.187.38.36:473
107.170.237.112:473
118.174.31.57:444
119.47.112.227:473
124.219.79.244:443
128.199.122.196:6446
130.185.189.81:443
157.252.245.49:473
158.85.92.20:443
162.13.137.236:444
168.187.96.115:443
183.81.166.5:443
185.48.144.4:443
188.21.18.226:443
192.130.75.146:444
193.251.76.63:443
195.154.251.123:473
195.251.250.37:448
198.50.205.130:443
198.74.58.153:5445
200.29.90.162:443
202.129.57.130:443
202.157.171.198:444
217.160.110.232:444
221.132.35.56:8843

4 - Solution
Afin de se protéger contre ce type de menace, les préconisations habituelles sont rappelées :

Ne pas ouvrir les documents en pièces jointes d'un message électronique non sollicité ;
Désactiver l'exécution automatique des macros dans les suites bureautiques ;
Maintenir le système d'exploitation et l'antivirus du poste de travail à jour.



La désactivation de l'exécution automatique des macros, dans Microsoft Office, se paramètre de la manière suivante :
Désactivation de l'exécution automatique des macros dans Microsoft Office



Historique des alertes et avis sur les attaques et le botnet Dridex
Historique des alertes et avis sur les attaques et le botnet Dridex



Botnet Dridex
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27533
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Botnet Dridex

Messagede pierre » 27 Mai 2020, 00:04

Le CERT (CERT - Computer Emergency Response Team) du Gouvernement français vient de produire un document (papier blanc) sur le botnet DRIDEX qui est toujours actif et furtif - (format PDF, français, 24 pages).
http://www.cert.ssi.gouv.fr/uploads/CERTFR-2020-CTI-005.pdf

Page 3
1.1.1 Fonctionnalités
Dridex, apparu en juin 2014, est la cinquième variante du code malveillant Bugat actif de 2010 à 2013 [1], agrémenté de particularités propres à GameOverZeuS (GoZ) [2], actif jusqu’en 2014.


Page 21
La référence [1] observée à la page 3 est un lien vers qui envoie vers Assiste.com :
7 Bibliographie
[1] ASSISTE. Botnet Dridex. 9 avr. 2020. URL : https://assiste.com/Botnet_Dridex.html.


Botnet Dridex
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27533
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Botnet Dridex

Messagede pierre » 22 Juin 2020, 23:33

Ajout de liens vers des notes et références à propos du groupe cybercriminel TA505.

Botnet Dridex
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27533
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Botnet Dridex

Messagede pierre » 18 Juil 2020, 09:14

Version anglaise du document
15.07.2020
PDF - 24 pages

https://www.cert.ssi.gouv.fr/uploads/CE ... TI-008.pdf

Toujours la référence à Assiste.com dans la bibliographie

Botnet Dridex
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 27533
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant


Retourner vers Encyclopédie

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 6 invités