Logiciel malveillant : Botnet Dridex

Une nouvelle campagne de propagation du virus bancaire Dridex vise les internautes français via une fausse facture ou un rappel d’impayé par mail comprenant une fausse pièce jointe.

Propagation

La diffusion se fait par email. La plupart du temps il s’agit d’une facture fictive ou d’une relance pour un impayé à régler rapidement. L'email  contient une ou plusieurs pièces jointes malveillantes (le plus souvent comportant une extension .doc, docx, xls, odt, ppt...). Ces emails sont écrits dans un français correct.

visuel d'ordinateur

Après avoir ouvert le message, le virus va demander à ouvrir la pièce jointe. Cette opération activera le virus.

Par exemple quand il s’agit d’un fichier .doc, le logiciel Word (s’il est présent sur le poste) va démarrer et présenter  une demande d'activation de macro pour visualiser le document.

La pièce jointe contient en réalité un programme malveillant qui, si cette activation de macro est acceptée, va télécharger et installer le virus troyen Bancaire Dridex sur votre ordinateur.

attention : N’ouvrez surtout pas cette pièce jointe sous peine d’infection virale et n’acceptez jamais d’activer les macros d’un document  dont vous n’êtes pas absolument sûr.

attention : De manière générale, refusez les pièces jointes aux mails de correspondants inconnus ou aux textes surprenants, aguicheurs ou inquiétants.

 

Menaces sur internet : se protéger efficacement

Ce virus, une fois installé, va chercher à récupérer les coordonnées bancaires et les codes d’accès à votre banque en ligne par plusieurs biais afin d’effectuer des transferts de fonds à votre insu.

Si vous acceptez l'activation de la macro, l'implant est activé via un téléchargement d'un fichier VBS ou EXE sans que vous ne vous en rendiez compte.

 

Ce virus semble polymorphe, aussi les antivirus actuels ne détectent pas forcement toutes les souches du virus.

Nous vous invitons à être particulièrement vigilants lors de l’ouverture d’une pièce jointe, notamment concernant les fichiers terminant par “.cab” “.scr” “.zip” ”.exe” ainsi que les fichiers bureautiques (“.doc” “.xls” “.ppt”).

 

 

Méthode de désinfection

Dans un premier temps, testez la vulnérabilité de votre installation.

Attention, le virus et les caractéristiques du mail qui le véhicule changent régulièrement.  Si vous venez d‘ouvrir une pièce jointe à un mail dont vous doutez de l’authenticité, nous vous invitons à procéder aux contrôles plus techniques (utilisateur expert) et à la désinfection proposés par la page :

https://www.lexsi.com/securityhub/campagne-dridex-outils-de-detection-et-desinfection/

 

Si votre poste a été compromis

Il est possible que votre machine infectée ait transmis des informations sensibles vers des serveurs malveillants,  en particulier, des informations bancaires trouvées sur votre machine. Dans ce cas, il est alors conseillé de vérifier régulièrement s’il n’y a pas eu de transactions frauduleuses effectuées sur ces comptes.

Quelques recommandations :
  • N'ouvrez pas les documents ou les pièces jointes non sollicités.
  • Désactivez l’exécution automatique des macros dans les suites bureautiques .
  • Utilisez un antivirus à jour ainsi qu'un firewall.
  • Maintenez à jour votre système d’exploitation et votre navigateur internet et appliquez les correctifs de sécurité.

 

Menaces sur internet : se protéger efficacement