Le Défi H 2016 a distingué hier le projet T-Jack des étudiants de Polytech Grenoble (Prix du Défi H et Prix de l'innovation technologique) mais aussi SignBand de l'école Exia Cesi de Bordeaux (Prix Jeune pousse) et Dicodys de l'ECE Paris (Prix du public).

L'Image du jour

Le Défi H 2016 a distingué hier le projet T-Jack des étudiants de Polytech Grenoble (Prix du Défi H et Prix de l'innovation technologique) mais aussi ...

Cybersécurité : quels outils pour contrer les nouvelles menaces

Dernier Dossier

Cybersécurité : quels outils pour contrer les nouvelles menaces

Les événements récents autour du ransomware Locky et du vol massif de données du cabinet panaméen Mossack Fonseca dans l'affaire des « Panama Papers »...

Restez proche de l'actualité IT

NEWSLETTERS THEMATIQUES

Découvrez nos différentes newsletters adaptées à vos besoins d'actualités IT Pro : Mobilité, Réseaux, Stockages, ...

Abonnez-vous 
FERMER

LMI MARKET

Votre comparateur de prestataires IT : Comparez les devis, Evaluez les prestataires, Trouvez le juste prix!...

Accéder à ce service 

BLOG

Découvrez les contenus exclusifs publiés par les lecteurs du Monde Informatique avec la plateforme LMI Blog...

Accéder à ce service 

COMPARATEUR DE SALAIRE

Partagez votre situation salariale anonymement, consultez les statistiques depuis 2009 et faites vos propres analyses...

Accéder à ce service 

IT TOUR

LMI vous invite à sa Matinée-Débats dans votre région.
Inscrivez-vous

Accéder au site 
FERMER
0
Réagissez Imprimer Envoyer

Des serveurs botnet Dridex détournés pour installer Avira

Le botnet Dridex a été hacké par un chevalier blanc pour proposer l'antivirus gratuit d'Avira. (Crédit IDG)

Le botnet Dridex a été hacké par un chevalier blanc pour proposer l'antivirus gratuit d'Avira. (Crédit IDG)

Un chevalier blanc aurait profité d'un accès privilégié aux serveur de botnet Dridex pour pousser un antivirus en lieu et place du malware habituel.

Certains serveurs de distribution de Dridex ont déployé des installeurs légitimes de l’antivirus d’Avira au lieu du Trojan Dridex. Les utilisateurs qui auraient cliqué sur le document Word malveillant utilisé dans une campagne de phishing auront donc reçu gratuitement l’antivirus au lieu de télécharger le malware qui cible les services bancaires en ligne. À ce jour, personne ne sait qui est responsable de cette substitution : un chevalier blanc – un chapeau blanc ou hacker éthique - a peut-être eu accès à certains serveurs du botnet utilisé par les cybercriminels pour distribuer le Trojan Dridex.

Le botnet Dridex est de nouveau très actif

Dridex est l'un des trois chevaux de Troie informatiques les plus utilisés pour cibler les utilisateurs de services bancaires en ligne. L’an dernier, les autorités judiciaires des États-Unis et du Royaume-Uni avaient tenté de démanteler le botnet. Un Moldave, potentiellement responsable de certaines attaques, a même été inculpé. Mais ces efforts n’ont eu qu’un impact temporaire sur l'activité de Dridex. En effet, le botnet tourne à nouveau à pleine puissance et ses outils ont même été dotés de nouvelles capacités. Par exemple, le cheval de Troie peut enregistrer la frappe et injecter du code malveillant dans les sites bancaires ouverts sur les ordinateurs affectés.

En général, les attaques de Dridex commencent par une campagne de phishing. Le botnet envoie des emails ciblés avec, en pièce jointe, un document Word intégrant des macros malveillantes. Quand l’utilisateur ouvre le document, une connexion avec le serveur est établie et l'installeur de Dridex est téléchargé sur la machine de la victime. Très récemment, des chercheurs spécialisés en malware travaillant pour l’éditeur de l’antivirus Avira ont constaté que certains serveurs de distribution Dridex chargeaient une version valide et up-to-date de l’installeur Avira au lieu d’envoyer le fameux cheval de Troie. Cela signifie que certaines victimes ont eu la chance de recevoir gratuitement une copie légitime et signé numériquement du programme antivirus au lieu d’avoir leurs ordinateurs infectés.

L'éditeur d'Avira ne sait pas qui pousse son antivirus

Cependant, l'installation du programme n’est pas automatique et ne se fait pas à l’insu de l’utilisateur : ce dernier doit demander manuellement la poursuite du processus d'installation pour que l’antivirus fonctionne. « Nous ne savons pas encore exactement qui a fait cela avec notre installeur et pourquoi, même si nous avons quelques idées sur le sujet », a déclaré par courriel l’expert en malware d’Avira, Moritz Kroll. « Ce qui est sûr, c’est que nous ne sommes pas à l’origine de cette substitution ». Une des hypothèses, c’est que les cybercriminels ont eux-mêmes remplacé le Trojan Dridex par l’installeur de l’antivirus Avira pour semer la confusion chez l’éditeur et perturber ses processus de détection. Mais, cette option semble peu probable, car en aidant les victimes à sécuriser leurs ordinateurs, les pirates auraient plus à perdre qu'à y gagner. Mais une explication plus probable serait qu'un pirate en chapeau blanc a réussi à détourner les serveurs de distribution de Dridex.

C’est en tout cas ce que pense Bryan Campbell, un chercheur indépendant qui a analysé certains serveurs Dridex. Ce dernier a notamment trouvé sur les sites de distribution de Dridex un message où l’on peut lire : « ce serveur soutient des activités criminelles ». L’expert en malware d’Avira pense qu’un pirate « a sûrement découvert un moyen de perturber le botnet, en utilisant probablement des méthodes qui ne sont pas strictement légales ». Comme le rappelle Moritz Kroll, « la mise hors d’état de nuire du botnet Dridex par les autorités gouvernementales avait fait l’objet d’un énorme battage médiatique, mais le retour en force du botnet n’a pas été très commenté ». C’est sans doute très frustrant et certains ont pu se dire que « là où le gouvernement avait échoué, ils pouvaient réussir ». Ce n’est pas la première fois que ce genre d’évènement se produit. Par le passé, l’installeur de l'antivirus d’Avira avait été distribué depuis des serveurs de commande et de contrôle censés diffuser CryptoLocker et le ransomware Tesla. À ce jour, les chercheurs ne savent toujours pas qui est à l’origine de cette substitution.

Commenter cet article

commenter cet article en tant que membre LMI

CONNEXION

Commenter cet article en tant que visiteur






* Les liens HTML sont interdits dans les commentaires

Publicité
Publicité
Publicité