Certains malwares paraissent increvables. C'est le cas du cheval de Troie bancaire Dridex qui avait été très actif entre 2014 et 2015. Fin 2015, une vaste opération avait été menée pour neutraliser le botnet Dridex, mais il avait fait une réapparition à la faveur d'un nouveau centre de commande et contrôle.

Hacker Étrangement, le botnet avait été détourné afin de délivrer non plus une charge utile malveillante mais le programme antivirus gratuit Avira. Mi-2016, il a été observé un regain des activités malveillantes de Dridex. Fin janvier, une campagne - d'une ampleur limitée - a ciblé des établissements financiers au Royaume-Uni.

Via du phishing ciblé, Dridex est téléchargé par l'intermédiaire de pièces jointes de messages contenant des macros dans des documents Word. Selon les chercheurs en sécurité de Flashpoint, la nouvelle version de Dridex utilise une technique pour contourner le contrôle de compte de l'utilisateur de Windows (UAC).

Ce contournement permet une exécution sans l'aval de l'utilisateur. Il met en jeu un outil légitime de Windows pour la création d'un disque de réparation et restauration système (recdisc.exe) qui est copié dans un dossier au nom de 6686, et le chargement du code malveillant par le biais d'une bibliothèque logicielle se faisant passer pour un fichier SPP.dll légitime.

L'attaque fonctionne sur Windows 7 mais a priori également sur Windows 10. Pour le reste, Dridex - qui est qualifié de modulaire - a un comportement habituel afin de surveiller le trafic vers des sites bancaires, voler des identifiants et données de comptes.

Plusieurs milliers de systèmes auraient été infectés. Très loin des performances de Dridex d'antan avec des campagnes à des millions de machines infectées.