Dridex est de retour avec un contournement de l'UAC de Windows

Le par  |  2 commentaire(s)
malware

Le cheval de Troie bancaire Dridex n'est toujours pas mort. Il vient de refaire surface avec une technique de contournement de l'UAC de Windows. Les premières cibles sont des institutions bancaires au Royaume-Uni.

Certains malwares paraissent increvables. C'est le cas du cheval de Troie bancaire Dridex qui avait été très actif entre 2014 et 2015. Fin 2015, une vaste opération avait été menée pour neutraliser le botnet Dridex, mais il avait fait une réapparition à la faveur d'un nouveau centre de commande et contrôle.

HackerÉtrangement, le botnet avait été détourné afin de délivrer non plus une charge utile malveillante mais le programme antivirus gratuit Avira. Mi-2016, il a été observé un regain des activités malveillantes de Dridex. Fin janvier, une campagne - d'une ampleur limitée - a ciblé des établissements financiers au Royaume-Uni.

Via du phishing ciblé, Dridex est téléchargé par l'intermédiaire de pièces jointes de messages contenant des macros dans des documents Word. Selon les chercheurs en sécurité de Flashpoint, la nouvelle version de Dridex utilise une technique pour contourner le contrôle de compte de l'utilisateur de Windows (UAC).

Ce contournement permet une exécution sans l'aval de l'utilisateur. Il met en jeu un outil légitime de Windows pour la création d'un disque de réparation et restauration système (recdisc.exe) qui est copié dans un dossier au nom de 6686, et le chargement du code malveillant par le biais d'une bibliothèque logicielle se faisant passer pour un fichier SPP.dll légitime.

L'attaque fonctionne sur Windows 7 mais a priori également sur Windows 10. Pour le reste, Dridex - qui est qualifié de modulaire - a un comportement habituel afin de surveiller le trafic vers des sites bancaires, voler des identifiants et données de comptes.

Plusieurs milliers de systèmes auraient été infectés. Très loin des performances de Dridex d'antan avec des campagnes à des millions de machines infectées.

Complément d'information
  • 0day Microsoft Office : Dridex est de la partie !
    Faisant l'objet d'une récente alerte, la vulnérabilité 0day de Microsoft Office est exploitée dans des attaques pour permettre la diffusion du cheval de Troie bancaire Dridex. Une 0day qui n'est donc pas seulement utilisée pour du ...
  • Le botnet Dridex distribue… un antivirus
    Un canal de diffusion du botnet Dridex a probablement été hacké. Point de malware pour les victimes mais une copie authentique de l'antivirus Avira.

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #1949007
J'ai bien envie de sortir une petite connerie mais on va me massacrer et on va se mettre à me jeter la pierre.
Anonyme
Le #1949698
fs0ciety a écrit :

J'ai bien envie de sortir une petite connerie mais on va me massacrer et on va se mettre à me jeter la pierre.


Non !
Tu peux y aller, tout le monde a déjà deviné le fond de ta pensée ....
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]