dridex

Dridex: Une nouvelle variante contourne les anti-virus

Des chercheurs ont découvert une variante du cheval de Troie bancaire Dridex qui a des capacités d’évasion qui l’aide à éviter la détection des anti-virus.

Alors que Dridex existe depuis 2011, les chercheurs ont récemment trouvé des emails d’hameçonnage distribuant une variante complètement nouvelle du malware. Cette variante utilise des signatures de fichiers difficilement sniffable par les logiciels anti-virus – permettant au malware d’éviter la détection sur les systèmes infectés.

JR DePre, manager technique de la red team d’eSentire, a révélé que la nouvelle variante est une autre étape dans le “jeu du chat et de la souris” qui se joue entre les acteurs de la cybersécurité et les hackers qui sont derrière le malware Dridex:  “La détection des nouvelles attaques continue d’évoluer et les acteurs malveillants continuent de mettre à jour leurs outils pour contourner ces détections.”

“A cause de la popularité de Dridex dans les attaques modernes, on peut présumer que les développeurs du malware continueront d’améliorer leurs techniques,” a déclaré DePre.

Dridex refuse de disparaître

Dridex est apparu pour la première fois en 2011 – mais en un peu moins d’une décennie, le malware a vécu une série de transformations. Les chercheurs ont déclaré dans une analyse que comme le trojan bancaire Emotet, “chaque nouvelle version de Dridex marque une étape supérieure dans la course à l’armement global alors que la communauté de cybersécurité répond avec de nouvelles détections et mitigations.”

Plus récemment, les chercheurs ont découvert que le malware était distribué aux victimes via un email d’hameçonnage sous forme de document malveillant avec des macros intégrées.  Une fois téléchargée, Dridex cible ensuite les informations bancaires.

La nouvelle variante dans ces emails d’hameçonnage contient plusieurs changements. La plus grande différence est l’évasion de détection anti-virale.

Le logiciel anti-virus se repose sur les signatures de fichiers (hachages MD5 ou SHA256) pour détecter les applications malveillantes, a expliqué DePre. Dridex utilise des fichiers DLL (dynamic link librairies) de 64 bits nouvellement créés et nouvellement signés qui ont des signatures de fichiers différents des précédentes versions qui ont été detecté par les logiciels d’antivirus dans le passé.

phishing email dridex malware

“Ces DLLs contiennent du code binaire MS Windows légitime, […] et sont donc plus difficiles à détecter,” selon DePre.

La nouvelle fonctionnalité est efficace: seulement 19 produits anti-virus (parmi 60 différents produits) ont identifié le comportement du trojan. Une liste complète des anti-virus qui ont détecté le trojan peut être trouvé sur VirusTotal.

L’autre changement important est que le malware utilise aussi une technique d’ajout d’application sur liste blanche pour contourner les techniques de mitigation, montrant une nouvelle tentative pour se jouer des tactiques de défenses.

Cette tactique utilise une faille de la ligne de commande de WMI (WMIC), un logiciel qui permet aux utilisateurs de faire des opérations Windows Management Instrumentation avec des lignes de commande. Windows Management Instrumentation est l’infrastructure de gestion de donnée et d’opérations sur les systèmes d’exploitation Windows.

Plus précisément, le malware cible une faille dans la politique d’exécution du procédé de gestion de liste blanche de WMIC concernant les scripts XLS.

A cause de cette faille, les scripts XLS contenant du code Visual Basic Script (VBS) malveillant peut être exécuté: “Essentiellement, si une compagnie a un hôte Windows Script désactivé ou bloqué, cette variante peut contourner cette technique d’ajout sur liste blanche et exécuter le code malveillant via WMIC en utilisant un fichier XLS avec du VBS malveillant,” a expliqué DePre.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de