Le cheval de Troie bancaire Dridex, qui est devenu une cybermenace financière majeure au cours des dernières années (en 2015, les dommages causés par le cheval de Troie étaient estimés à plus de 40 millions de dollars), se distingue des autres logiciels malveillants car il n’a cessé d’évoluer et de devenir plus sophistiqué depuis sa première apparition en 2011. Dridex a pu échapper à la justice pendant si longtemps en cachant ses serveurs de commande et de contrôle principaux (C&C) derrière des couches de proxy. Étant donné que les anciennes versions cessent de fonctionner lorsque de nouvelles apparaissent et que chaque nouvelle amélioration constitue un pas de plus dans le développement systématique du logiciel malveillant, on peut conclure que les mêmes personnes ont été impliquées dans le développement du cheval de Troie tout ce temps. Ci-dessous, nous fournissons un bref aperçu de l’évolution du cheval de Troie sur six ans, ainsi que quelques détails techniques sur ses dernières versions.
Comment Tout a commencé
Dridex a fait sa première apparition en tant que programme malveillant indépendant (sous le nom de “Cridex”) vers septembre 2011. Une analyse d’un échantillon de Cridex (MD5:78cc821b5acfc017c855bc7060479f84) a démontré que, même à ses débuts, le logiciel malveillant pouvait recevoir des fichiers de configuration dynamiques, utiliser des injections Web pour voler de l’argent et infecter des supports USB. Cette capacité a influencé le nom sous lequel la version “zéro” de Cridex a été détectée — Worm.Gagner 32.Cridex.
Cette version avait un fichier de configuration binaire:
Les sections nommées databefore, datainject et dataafter ont rendu les injections Web elles-mêmes similaires au malware répandu Zeus (il y a peut-être eu un lien entre cela et la fuite de code source Zeus de 2011).
Cridex 0.77–0.80
En 2012, une variante de Cridex significativement modifiée (MD5:45ceacdc333a6a49ef23ad87196f375f) a été publiée. Les cybercriminels avaient abandonné les fonctionnalités liées à l’infection des supports USB et remplacé le format binaire du fichier de configuration et des paquets par XML. Les requêtes envoyées par le logiciel malveillant au serveur C & se présentaient comme suit:
|
1
2
3
4
5
6
7
8
9
|
<message set_hash=””req_set=”1″ req_upd=”1″>
<l’en-tête >
<unique>WIN-1DUOM1MNS4F_A47E8EE5C9037AFE</unique>
<version></version>
<system></system>
<network></network>
</header>
<data></data>
</message>
|
The <message> tag was the XML root element. The <header> tag contained information about the system, bot identifier, and the version of the bot.
Voici un exemple de fichier de configuration:
|
1
2
3
4
|
<packet><commands><cmd type=”3″><httpinject><conditions><url type=”deny”>\.(css|js)($|\?)</url><url type=”allow” contentType=”^text/(html|plain)”><></url></conditions><actions><modify><pattern><></pattern><replacement><></url>
<url type=”deny” onpost=”0″ onget=”1″ modifiers=””>\.(gif|png|jpg|css|swf)($|\?)</url>
</conditions>
<actions>
<modify><pattern modifiers=”msU”><></pattern><replacement><></replacement></modify>
<modify><pattern modifiers=”msU”><></pattern><replacement><!;
};
|
Les sections sont du même type que dans <paramètres >:
- 01h–HttpShots
- 02h–Formgrabber
- 08h – Redirige
- etc.
La seule chose qui a changé est le cryptage des chaînes dans le fichier de configuration – RC4 est maintenant utilisé.
|
1
2
3
4
5
6
|
struct EncryptedConfigString {
OCTET RC4Key1; //Clé de chiffrement de taille
DWORD EncryptedSize;
OCTET RC4Key2; //Clé de chiffrement des données
OCTET EncryptedData;
};
|
RC4 a également été utilisé pour chiffrer les données dans des paquets p2p.
Répartition géographique
Les développeurs de Dridex recherchent des victimes potentielles en Europe. Entre le 1er janvier et début avril 2017, nous avons détecté une activité de Dridex dans plusieurs pays européens. Le Royaume-Uni a représenté plus de la moitié (près de 60%) de toutes les détections, suivi de l’Allemagne et de la France. Dans le même temps, le malware ne fonctionne jamais en Russie, car le Cs C& détecte le pays via l’adresse IP et ne répond pas si le pays est la Russie.
Conclusion
Au cours des nombreuses années d’existence de la famille Dridex, il y a eu de nombreuses tentatives infructueuses de bloquer l’activité du botnet. L’évolution continue du logiciel malveillant démontre que les cybercriminels ne sont pas sur le point de faire leurs adieux à leur idée originale, ce qui leur fournit un flux de revenus régulier. Par exemple, les développeurs de Dridex continuent de mettre en œuvre de nouvelles techniques pour échapper au système de contrôle de compte d’utilisateur (UAC). Ces techniques permettent au logiciel malveillant d’exécuter ses composants malveillants sur les systèmes Windows.
On peut supposer que les mêmes personnes, peut-être des russophones, sont à l’origine des chevaux de Troie Dridex et Zeus Gameover, mais nous ne le savons pas pour autant. Les dommages causés par les cybercriminels sont également impossibles à évaluer avec précision. Sur la base d’une estimation très approximative, il a atteint des centaines de millions de dollars à ce jour. De plus, étant donné l’évolution du logiciel malveillant, on peut supposer qu’une partie importante des “bénéfices” est réinvestie dans le développement du cheval de Troie bancaire.
L’analyse a été réalisée sur la base des échantillons suivants:
Chargeur Dridex4: d0aa5b4dd8163eccf7c1cd84f5723d48
Bot Dridex4: ed8cdd9c6dd5a221f473ecf3a8f39933
Leave a Reply