Le FBI et la NCA agissent contre Dridex, le virus bancaire le plus utilisé en 2015

Sur le web

Par Antoine le

Hier, le FBI, la NCA (la National Crime Agency est une agence du Royaume-Uni) et bien d’autres agences gouvernementales autour du monde ont agit contre l’un des malwares les plus utilisés en 2015 : Dridex. L’organisation criminelle derrière ce malware aurait volé des dizaines de millions de dollars depuis mai 2015.

quel_prix_valent_données_personnelles_black_market-640x320

Les services américains et anglais, accompagnés d’autres autour du monde ont mené une action conjointe pour faire tomber une grosse partie du réseau “botnet” de l’organisation criminelle. Un botnet est un réseau de machine zombie servant à infecter d’autres machines et à diffuser un virus informatique. Ce sont les serveurs servant à diffuser et à contrôler ce réseau qui ont été mis hors d’état de nuire par le FBI avant d’être saisis. Les agences gouvernementales ont aussi procédé à des arrestations de personnes suspectées d’appartenir au réseau criminel.

Dridex detections during 2015
Dridex detections during 2015

Dridex est, d’une certaine façon, né de l’action du FBI contre le réseau “botnet” Zeus en juin 2014. Dridex est donc un réseau botnet, dont le principal but est de récupérer les données bancaires pouvant être présentes sur les ordinateur infectés. Même si l’équipe derrière le virus a souvent changé de méthode d’infection, la plus répandue reste l’infection par mail.

Top ten countries by number of Dridex detections in 2015
Top ten countries by number of Dridex detections in 2015

Le virus exploite une faille bien connue dans la sécurité informatique : le facteur humain. Des mails de spam sont envoyés par les machines infectées avec à l’intérieur, des liens vers de fausses pages web, mais aussi avec des documents Excel ou Word, c’est la méthode la plus utilisé. Ces documents de la suite Office ont l’avantage de ne pas trop attirer l’attention, la majorité des gens étant plus au courant des menaces transmises via les URL que de la possible dangerosité d’un document Word. Ces derniers peuvent pourtant exécuter des macros à l’ouverture, permettant le téléchargement du malware en lui même. Ce dernier se chargera ensuite de récupérer les informations et d’intégrer la machine au botnet.
Il faut aussi noter que Dridex et capable de se répliquer et de se cacher sur les clés USB et autres appareils reliés à l’ordinateur infecté.

Pour ceux parlant anglais, la société FireEye explique bien l’évolution du virus dans un post sur son blog.

Source: Source