Dridex: 1 nouvelle variante contourne les anti-virus

Des chercheurs ont découvert une nouvelle variante du cheval de Troie bancaire Dridex qui a des capacités d’évasion qui l’aide à éviter la détection des anti-virus et autres solutions de sécurité.

Alors que Dridex existe depuis 2011, les chercheurs ont récemment trouvé des emails d’hameçonnage distribuant une variante complètement nouvelle du malware. Cette variante utilise des signatures de fichiers difficilement sniffable par les logiciels anti-virus et autres logiciels utilisés pour la sécurité informatique. Cela permet au malware d’éviter de se faire détecté sur les systèmes infectés.

JR DePre, manager technique de la red team d’eSentire, a révélé que la nouvelle variante est une autre étape dans le “jeu du chat et de la souris” qui se joue entre les acteurs de la sécurité informatique et les hackers qui sont responsable du développement du malware Dridex:  “La détection des nouvelles attaques continue d’évoluer et les acteurs malveillants continuent de mettre à jour leurs outils pour contourner ces détections.”

“A cause de la popularité de Dridex dans les attaques modernes, on peut présumer que les développeurs du malware continueront d’améliorer leurs techniques,” a déclaré DePre.

Dridex refuse de disparaître

Dridex est apparu pour la première fois en 2011 – mais en un peu moins d’une décennie, le malware a vécu une série de nouvelles transformations. Les chercheurs ont déclaré dans une analyse que comme le trojan bancaire Emotet, “chaque nouvelle version de Dridex marque une étape supérieure dans la course à l’armement global alors que la communauté de la sécurité informatique répond avec de nouvelles détections et mitigations.”

Plus récemment, les chercheurs ont découvert que le malware était distribué aux victimes via un email d’hameçonnage sous forme de document malveillant avec des macros intégrées.  Une fois téléchargée, Dridex cible ensuite les informations bancaires pour les subtiliser.

La nouvelle variante présente dans ces emails d’hameçonnage contient plusieurs changements. La plus grande différence est l’évasion de détection anti-virale.

Le logiciel anti-virus se repose sur les signatures de fichiers (hachages MD5 ou SHA256) pour détecter les applications malveillantes, a expliqué DePre. Dridex utilise des fichiers DLL (dynamic link librairies) de 64 bits nouvellement créés et nouvellement signés qui ont des signatures de fichiers différentes des précédentes versions qui ont été détecté par les logiciels d’antivirus dans le passé.

phishing email dridex malware

“Ces DLLs contiennent du code binaire MS Windows légitime, […] et sont donc plus difficiles à détecter,” selon DePre.

La nouvelle fonctionnalité est efficace: seulement 19 produits anti-virus (parmi 60 différents produits de sécurité informatique) ont identifié le comportement du trojan. Une liste complète des anti-virus qui ont détecté le trojan peut être trouvé sur VirusTotal.

L’autre changement important est que le malware utilise aussi une technique d’ajout d’application sur liste blanche pour contourner les techniques de mitigation, montrant une nouvelle tentative pour se jouer des tactiques de défenses.

Cette tactique utilise une faille de la ligne de commande de WMI (WMIC), un logiciel qui permet aux utilisateurs de faire des opérations Windows Management Instrumentation avec des lignes de commande. Windows Management Instrumentation est l’infrastructure de gestion de donnée et d’opérations sur les systèmes d’exploitation Windows.

Plus précisément, le malware cible une faille dans la politique d’exécution du procédé de gestion de liste blanche de WMIC concernant les scripts XLS.

A cause de cette faille, les scripts XLS contenant du code Visual Basic Script (VBS) malveillant peut être exécuté: “Essentiellement, si une compagnie a un hôte Windows Script désactivé ou bloqué, cette variante peut contourner cette technique d’ajout sur liste blanche et exécuter le code malveillant via WMIC en utilisant un fichier XLS avec du VBS malveillant,” a expliqué DePre.

On ne répétera jamais assez qu’il faut rester prudent et surtout se méfier des e-mails venant de sources inconnus.

Si cet article vous a plu, jetez un œil à notre précédent article.

Poster un Commentaire

avatar
  S’abonner  
Notifier de