Campagne de messages électroniques non sollicités de type Dridex (corrigée le 23 octobre 2015)
Version initiale de l'avis
23 octobre 2015
Source(s)
Voir Documentation
Qu'est-ce qu'un
CVE |
Full disclosure |
Zero Day |
Tromperie et Full disclosureMise à jour de l'alerte (Clôture de l'alerte)26 novembre 2015
1 - Risque(s)
Installation d'un logiciel malveillant de type Dridex.
2 - Systèmes affectés
Tous les systèmes d'exploitations Windows peuvent être victimes de ce logiciel malveillant.
3 - Résumé
Depuis la mi-octobre 2015, le CERT-FR constate à l'échelle nationale une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Cette vague est similaire à ce qui a déjà pu être observé au mois de juin de cette même année et décrit dans le bulletin d'actualité CERTFR-2015-ACT-024 (
http://www.cert.ssi.gouv.fr/site/CERTFR ... index.html ).
Ces pourriels embarquent des documents Microsoft Office contenant des macros VBA malveillantes. Elles ont pour but d'infecter la victime avec un logiciel malveillant connu initialement sous le nom de Dridex.
Ces pourriels sont très souvent rédigés dans un français sans faute. Le sujet et le contenu du pourriel mentionnent des problèmes de facturation, dans la plupart des cas, pour inciter la victime à ouvrir la pièce jointe. Dans certains cas il est aussi fait référence à un document scanné.
Nous avons également pu constater la présence de pourriels rédigés en langue anglaise embarquant des documents Microsoft Excel.
D'après les échantillons que le CERT-FR a observés, le téléchargement de Dridex s'effectue par l'intermédiaire d'une macro VBA ayant pour objectif le téléchargement du binaire à partir d'un serveur malveillant. Il est intéressant de noter que sur la plupart des échantillons aujourd'hui analysés, le téléchargement du binaire s'effectue sur un port HTTP non standard. Cette caractéristique réseau permet de détecter pour cette variante les postes ayant exécuté la macro citée précédemment.
À l'aide les échantillons remontés, le CERT-FR a constaté que les URLs de téléchargement du binaire Dridex sont les suivantes (toutes les URLs suivantes ont été démilitarisées par l'adjonction du suffixe ._BAD_ aux noms de domaines et adresses IP) :
http://5.2.199.30_BAD_:8080/uniq/load.php http://84.200.52.52_BAD_:8080/uniq/load.php http://93.170.104.168_BAD_:8080/uniq/load.php http://113.30.152.165_BAD_:8080/uniq/load.php http://113.30.152.167_BAD_:8080/uniq/load.php http://168.243.33.195_BAD_:8080/uniq/load.php http://178.62.7.183_BAD_:8080/uniq/load.php http://195.37.231.2_BAD_:8080/uniq/load.php http://199.175.55.116_BAD_:8080/uniq/load.php http://webmatique.info_BAD_/35436/5324676645.exe http://www.tokushu.co.uk_BAD_/56475865/ih76dfr.exe http://113.30.152.170_BAD_:8180/uniq/load.php http://186.47.80.90_BAD_:8080/images/getimg.php http://117.239.73.244_BAD_:8880/images/getimg.php http://178.33.167.120_BAD_:8880/images/getimg.php http://landprosystems.com_BAD_/34g3f3g/68k7jh65g.exe http://103.252.100.44_BAD_:8880/Citrix/applet.php http://68.169.59.208_BAD_:8880/Citrix/applet.php http://117.239.73.244_BAD_:8880/Citrix/applet.php http://86.34.133.90_BAD_:8180/Citrix/applet.php http://78.129.133.249_BAD_:8880/Citrix/applet.php http://103.252.100.44_BAD_:8880/benzin/ai76.php http://178.32.136.167_BAD_:8880/benzin/ai76.php http://68.169.59.208_BAD_:8880/benzin/ai76.php http://skredman.webz.cz_BAD_/334g5j76/897i7uxqe.exe http://novyzeland2013.webzdarma.cz_BAD_ ... i7uxqe.exe http://187.5.6.136_BAD_:8008/sezamstreet/ziliboba.php http://203.172.180.195_BAD_:8008/sezams ... liboba.php http://1.179.170.7_BAD_:8008/sezamstreet/ziliboba.php http://mgming.rs_BAD_/87yte55/6t45eyv.exe http://www.davidcaballero.com_BAD_/87yte55/6t45eyv.exe http://bbofilinc.com_BAD_/ builder2012/87yte55/6t45eyv.exe
http://www.clemenciaortiz.com_BAD_/87yte55/6t45eyv.exe http://sanoko.jp_BAD_/5t546523/lhf3f334f.exe http://aniretak.wz.cz_BAD_/5t546523/lhf3f334f.exe http://piotrektest.cba.pl_BAD_/45yfqfwg/6ugesgsg.exe http://wmdrewniana8.cba.pl_BAD_/45yfqfwg/6ugesgsg.exe http://williamcannady.com_BAD_/345u754/433fd.exe http://hardware-software.xf.cz_BAD_/345u754/433fd.exeEnfin, les échantillons Dridex ainsi récupérés tentent de communiquer avec les serveurs suivants :
5.63.88.100:4403
5.187.4.183:473
31.29.106.75:443
37.128.132.96:443
41.38.18.230:443
45.55.136.31:473
46.31.43.57:443
67.211.95.228:5445
68.169.54.179:6446
74.208.12.150:444
75.99.13.123:8443
78.243.156.115:444
89.32.145.12:4483
89.189.174.19:444
93.185.75.21:443
103.251.90.43:5445
106.187.38.36:473
107.170.237.112:473
118.174.31.57:444
119.47.112.227:473
124.219.79.244:443
128.199.122.196:6446
130.185.189.81:443
157.252.245.49:473
158.85.92.20:443
162.13.137.236:444
168.187.96.115:443
183.81.166.5:443
185.48.144.4:443
188.21.18.226:443
192.130.75.146:444
193.251.76.63:443
195.154.251.123:473
195.251.250.37:448
198.50.205.130:443
198.74.58.153:5445
200.29.90.162:443
202.129.57.130:443
202.157.171.198:444
217.160.110.232:444
221.132.35.56:8843
4 - Solution
Afin de se protéger contre ce type de menace, les préconisations habituelles sont rappelées :
Ne pas ouvrir les documents en pièces jointes d'un message électronique non sollicité ;
Désactiver l'exécution automatique des macros dans les suites bureautiques ;
Maintenir le système d'exploitation et l'antivirus du poste de travail à jour.
La désactivation de l'exécution automatique des macros, dans Microsoft Office, se paramètre de la manière suivante :
Désactivation de l'exécution automatique des macros dans Microsoft OfficeHistorique des alertes et avis sur les attaques et le botnet DridexHistorique des alertes et avis sur les attaques et le botnet DridexBotnet Dridex