Certains serveurs de distribution de Dridex ont déployé des installeurs légitimes de l’antivirus d’Avira au lieu du Trojan Dridex. Les utilisateurs qui auraient cliqué sur le document Word malveillant utilisé dans une campagne de phishing auront donc reçu gratuitement l’antivirus au lieu de télécharger le malware qui cible les services bancaires en ligne. À ce jour, personne ne sait qui est responsable de cette substitution : un chevalier blanc – un chapeau blanc ou hacker éthique - a peut-être eu accès à certains serveurs du botnet utilisé par les cybercriminels pour distribuer le Trojan Dridex.

Le botnet Dridex est de nouveau très actif

Dridex est l'un des trois chevaux de Troie informatiques les plus utilisés pour cibler les utilisateurs de services bancaires en ligne. L’an dernier, les autorités judiciaires des États-Unis et du Royaume-Uni avaient tenté de démanteler le botnet. Un Moldave, potentiellement responsable de certaines attaques, a même été inculpé. Mais ces efforts n’ont eu qu’un impact temporaire sur l'activité de Dridex. En effet, le botnet tourne à nouveau à pleine puissance et ses outils ont même été dotés de nouvelles capacités. Par exemple, le cheval de Troie peut enregistrer la frappe et injecter du code malveillant dans les sites bancaires ouverts sur les ordinateurs affectés.

En général, les attaques de Dridex commencent par une campagne de phishing. Le botnet envoie des emails ciblés avec, en pièce jointe, un document Word intégrant des macros malveillantes. Quand l’utilisateur ouvre le document, une connexion avec le serveur est établie et l'installeur de Dridex est téléchargé sur la machine de la victime. Très récemment, des chercheurs spécialisés en malware travaillant pour l’éditeur de l’antivirus Avira ont constaté que certains serveurs de distribution Dridex chargeaient une version valide et up-to-date de l’installeur Avira au lieu d’envoyer le fameux cheval de Troie. Cela signifie que certaines victimes ont eu la chance de recevoir gratuitement une copie légitime et signé numériquement du programme antivirus au lieu d’avoir leurs ordinateurs infectés.

L'éditeur d'Avira ne sait pas qui pousse son antivirus

Cependant, l'installation du programme n’est pas automatique et ne se fait pas à l’insu de l’utilisateur : ce dernier doit demander manuellement la poursuite du processus d'installation pour que l’antivirus fonctionne. « Nous ne savons pas encore exactement qui a fait cela avec notre installeur et pourquoi, même si nous avons quelques idées sur le sujet », a déclaré par courriel l’expert en malware d’Avira, Moritz Kroll. « Ce qui est sûr, c’est que nous ne sommes pas à l’origine de cette substitution ». Une des hypothèses, c’est que les cybercriminels ont eux-mêmes remplacé le Trojan Dridex par l’installeur de l’antivirus Avira pour semer la confusion chez l’éditeur et perturber ses processus de détection. Mais, cette option semble peu probable, car en aidant les victimes à sécuriser leurs ordinateurs, les pirates auraient plus à perdre qu'à y gagner. Mais une explication plus probable serait qu'un pirate en chapeau blanc a réussi à détourner les serveurs de distribution de Dridex.

C’est en tout cas ce que pense Bryan Campbell, un chercheur indépendant qui a analysé certains serveurs Dridex. Ce dernier a notamment trouvé sur les sites de distribution de Dridex un message où l’on peut lire : « ce serveur soutient des activités criminelles ». L’expert en malware d’Avira pense qu’un pirate « a sûrement découvert un moyen de perturber le botnet, en utilisant probablement des méthodes qui ne sont pas strictement légales ». Comme le rappelle Moritz Kroll, « la mise hors d’état de nuire du botnet Dridex par les autorités gouvernementales avait fait l’objet d’un énorme battage médiatique, mais le retour en force du botnet n’a pas été très commenté ». C’est sans doute très frustrant et certains ont pu se dire que « là où le gouvernement avait échoué, ils pouvaient réussir ». Ce n’est pas la première fois que ce genre d’évènement se produit. Par le passé, l’installeur de l'antivirus d’Avira avait été distribué depuis des serveurs de commande et de contrôle censés diffuser CryptoLocker et le ransomware Tesla. À ce jour, les chercheurs ne savent toujours pas qui est à l’origine de cette substitution.