Le FBI et la NCA agissent contre Dridex, le virus bancaire le plus utilisé en 2015
Les services américains et anglais, accompagnés d’autres autour du monde ont mené une action conjointe pour faire tomber une grosse partie du réseau “botnet” de l’organisation criminelle. Un botnet est un réseau de machine zombie servant à infecter d’autres machines et à diffuser un virus informatique. Ce sont les serveurs servant à diffuser et à contrôler ce réseau qui ont été mis hors d’état de nuire par le FBI avant d’être saisis. Les agences gouvernementales ont aussi procédé à des arrestations de personnes suspectées d’appartenir au réseau criminel.
Dridex est, d’une certaine façon, né de l’action du FBI contre le réseau “botnet” Zeus en juin 2014. Dridex est donc un réseau botnet, dont le principal but est de récupérer les données bancaires pouvant être présentes sur les ordinateur infectés. Même si l’équipe derrière le virus a souvent changé de méthode d’infection, la plus répandue reste l’infection par mail.
Le virus exploite une faille bien connue dans la sécurité informatique : le facteur humain. Des mails de spam sont envoyés par les machines infectées avec à l’intérieur, des liens vers de fausses pages web, mais aussi avec des documents Excel ou Word, c’est la méthode la plus utilisé. Ces documents de la suite Office ont l’avantage de ne pas trop attirer l’attention, la majorité des gens étant plus au courant des menaces transmises via les URL que de la possible dangerosité d’un document Word. Ces derniers peuvent pourtant exécuter des macros à l’ouverture, permettant le téléchargement du malware en lui même. Ce dernier se chargera ensuite de récupérer les informations et d’intégrer la machine au botnet.
Il faut aussi noter que Dridex et capable de se répliquer et de se cacher sur les clés USB et autres appareils reliés à l’ordinateur infecté.
Pour ceux parlant anglais, la société FireEye explique bien l’évolution du virus dans un post sur son blog.