Dridex bel et bien en vie : ses créateurs reprennent du service avec une nouvelle campagne de distribution et le cheval de Troie bancaire Shifu

Après un mois d'interruption et un certain nombre d'arrestations, il semblerait que les créateurs de Dridex aient repris du service plus vigoureusement que jamais, et ce malgré de récentes informations confirmant sa neutralisation. En analysant les activités récentes des développeurs de Dridex, qui ont aujourd'hui refait surface, les chercheurs Proofpoint ont identifié de nombreux changements de comportement, tant au niveau des innovations techniques que de la nature des autres programmes malveillants diffusés (fraudes bancaires et vol de données). Voici un rappel des faits les plus marquants :

• Les attaques perpétrées par Dridex ont cessé au mois de septembre suite à l'arrestation d'Andrei Ghincul, connu également sous le nom de Smilex et principal développeur présumé de ce programme malveillant. [1] [2] [3]
• Le programme Dridex est réapparu au début du mois d'octobre, l'ensemble des sous-botnets étant diffusés par le même botnet de spams.
• Les activités du botnet 220 Dridex ont repris de plus belle le 1er octobre.
• Les activités du botnet 120 Dridex ont repris le 16 octobre.
• Proofpoint a identifié un tout nouveau botnet du programme Dridex (version 301), ainsi qu'un autre, plus rare (version 121).
• Proofpoint a constaté une nouvelle augmentation importante des spams, dont les volumes ont atteint voire dépassé, à plusieurs reprises, le niveau enregistré lors des jours les plus chargés au cours des six derniers mois.
• Le botnet à l'origine de la propagation de Dridex a également diffusé le cheval de Troie bancaire Shifu auprès d'utilisateurs japonais et britanniques, un signe laissant penser que les développeurs cherchent à se diversifier.
• Ce botnet a également fait circuler le programme malveillant Ursnif, dont l'objectif consiste à dérober les données d'utilisateurs australiens.

Les cinq éléments d'une attaque moderne

Si l'on essaie de déchiffrer les récentes avancées du virus Dridex, il convient de les replacer dans leur contexte, et notamment dans le cadre d'une structure plus large utilisée aujourd'hui par un grand nombre de cybercriminels. Une telle structure comprend généralement cinq éléments : un créateur, un vecteur, un hébergeur, une charge et un canal C2.

1. Le créateur : il s'agit de l'organisation à l'origine de l'attaque ; par exemple, des personnes motivées par diverses raisons, le plus souvent financières dans le cas des cybercriminels.
2. Le vecteur : il s'agit du mécanisme de transmission ; un courrier électronique envoyé par un botnet de spams loué ou contrôlé par le pirate lui-même représente le vecteur le plus fréquent, bien que les réseaux sociaux soient de plus en plus exploités dans ce domaine.
3. L'hébergeur : il s'agit des sites hébergeant le programme malveillant ; si ce dernier n'est pas directement joint au courrier électronique, c'est à partir de ces sites que sont diffusés les documents activés par macro ou les injecteurs placés dans les kits d'exploitation.
4. La charge : il s'agit du programme malveillant lui-même ; le logiciel qui permettra à la personne à l'origine de l'attaque d'utiliser l'ordinateur cible (de le contrôler, d'en extraire des données, d'y installer d'autres logiciels).
5. C2 : il s'agit du canal de commande et de contrôle servant à faire le lien entre le programme malveillant et les personnes à l'origine de l'attaque.

Cette structure permet aux pirates d'intervenir dans de solides environnements segmentés de façon horizontale tout en se concentrant sur le développement de certaines parties, et en en vendant ou en en louant à d'autres personnes ; de telles structures échappent aux neutralisations et contournent les pannes des différents composants. Elles augmentent néanmoins la surface de détection des pirates, c'est-à-dire la probabilité qu'ils soient découverts. En suivant chacun de ces éléments, il est possible d'en déduire d'autres et de prendre les mesures de protection appropriées. 

Observation des botnets Dridex

Les activités du botnet 220 Dridex ont repris de plus belle depuis le 1er octobre. Il semblerait que la neutralisation du programme malveillant annoncée le 13 octobre n'ait causé l'interruption de ses activités que pendant une seule journée, celle du 14 octobre. Depuis, Proofpoint a découvert que le botnet 220 avait effectué quatorze opérations par jour. Des tests ont également révélé que ce programme malveillant était actuellement capable de bloquer des DLL et des fichiers de configuration.

Les activités du botnet 120 Dridex ont repris le 16 octobre. Depuis, Proofpoint a découvert qu'il était à l'origine de sept campagnes par jour. Par ailleurs, de nouveaux sous-botnets ont été identifiés, comme les versions 301 et 121. Voici la liste des botnets Dridex spécifiques et les dates auxquelles ils ont été identifiés par Proofpoint :

• Dridex 220: October 1, 5, 6, 7, 8, 9, 12, 13, 15, 19, 21, 22, 23, 26
• Dridex 120: October 16, 19, 20, 22, 26, 27, 28
• Dridex 121: October 19
• Dridex 301: October 22

Volumes de spams Dridex et observations

Dans ces campagnes de spams, les chercheurs Proofpoint ont noté les détails suivants :

• Le 22  octobre a été une journée exceptionnelle puisque nous avons détecté 4 campagnes de spams Dridex : les botnets 120, 220 (le matin et le soir) et 301 Dridex ont tous été diffusés ce même jour.
• Le nombre maximal de messages envoyés dans le cadre d'une seule campagne était deux fois supérieur au volume moyen transmis pendant le cycle Dridex du mois d'octobre (botnet 220 Dridex du 19 octobre).
• Le nombre minimal de courriers électroniques envoyés dans le cadre d'une seule campagne s'élevait à 100 ; il s'agissait d'une sous-opération du botnet 121 Dridex organisée le 19 octobre.
• Nous continuons de constater un recours à grande échelle à des courriers électroniques utilisant des transactions et des factures en guise de leurres (Fig. 1).
• La plupart des pièces jointes malveillantes envoyées par courrier électronique sont vides ou utilisent un leurre générique du type « Activez les macros pour afficher ce document ». Toutefois, la campagne limitée Dridex 121 du 19 octobre a utilisé un document intéressant en guise de leurre (Fig. 2)

Figure 1 : Facture utilisée en guise de leurre dans le cadre de la campagne Dridex 220 du 21 octobre

Figure 2 : Document de grande qualité utilisé en guise de leurre dans le cadre de la campagne Dridex 121 du 19 octobre

Cheval de Troie bancaire Shifu

Le botnet à l'origine de la diffusion de Dridex 120, 220, 121 et 301 [5] (et responsable de l'infection par des spams d'environ 4 000 à 10 000 machines, selon les jours) a également fait circuler le cheval de Troie bancaire Shifu, ce qui montre la volonté des créateurs de se diversifier ou de chercher des solutions supplémentaires au cas où les mesures d'application de la loi portent leurs fruits.

Découvert pour la toute première fois à la fin du mois d'août [6], Shifu présente les mêmes caractéristiques qu'un grand nombre d'autres chevaux de Troie bancaires très connus, comme Zeus, Dyre, Dridex, etc. Alors que ce programme hybride évolué utilise un fichier de configuration de format et de technique identiques à Dridex, il possède également des fonctionnalités de dissimulation, d'obfuscation, d'anti-analyse, de canal C2 et de lutte contre les programmes malveillants [7] qui lui sont propres. Par ailleurs, il a principalement ciblé jusqu'à présent les clients d'établissements bancaires au Japon et au Royaume-Uni.

Le 7 octobre, ce botnet a envoyé des courriers électroniques en japonais, supposés correspondre à une confirmation de commande, mais qui, en réalité, contenaient des pièces jointes, comme le fichier « 1312061102_13233939se.doc », utilisant des macros pour télécharger le cheval de Troie bancaire Shifu sur les ordinateurs d'utilisateurs japonais.

Figure 3 : Courrier électronique affichant une confirmation de commande en guise de leurre et diffusant Shifu auprès d'utilisateurs japonais

Le 20 octobre, une autre campagne utilisant des messages avec l'objet « Numéro de bon de commande : 48847 » et contenant la pièce jointe « PO_48847.DOC » ou avec l'objet « jean.durand@société.com » (l'adresse du destinataire) et la pièce jointe « FINAL NOTIFICATION.xls » a été repérée. Les pièces jointes sont des documents Microsoft Office, qui contiennent des macros malveillantes téléchargeant le cheval de Troie bancaire Shifu auprès de clients de banques britanniques. [4] (Fig. 4)

Figure 4 : Courrier électronique affichant une confirmation de commande en guise de leurre et diffusant Shifu auprès d'utilisateurs britanniques

Nous avons déjà observé ce botnet de spams lors de la diffusion du programme Dridex, ce qui nous laisse penser qu'il était sous le contrôle d'un seul groupe ou d'une petite équipe d'individus. Cette constatation ne suffit toutefois pas à faire le lien entre ces instances de Shifu et les développeurs du programme malveillant Dridex ; il est possible, par exemple, que les ordinateurs infectés aient été contaminés par plusieurs spambots ou que la personne à l'origine des spams ait tout simplement voulu rendre un service à un ami. Des analyses complémentaires ont néanmoins révélé d'autres points communs : par exemple, le programme utilisé pour générer les documents Shifu était similaire à celui utilisé par Dridex 220 : noms de fichier identiques, corps du document vide, même structure URI d'emplacement de la charge (c'est-à-dire l'emplacement à partir duquel le document Microsoft Word télécharge la charge Shifu ou Dridex).

Exemple d'URL pour les charges utilisées dans la campagne Shifu du 20 octobre :

hxxp://ladiesfirst-privileges[.]com/656465/d5678h9.exe
hxxp://papousek.kvalitne[.]cz/656465/d5678h9.exe
hxxp://pmspotter[.]wz[.]cz/656465/d5678h9.exe

Example Payload URLs for October 19 Dridex 220:

hxxp://demo9.iphonebackstage[.]com/35436/5324676645.exe
hxxp://euroagroec[.]com/35436/5324676645.exe
hxxp://webmatique[.]info/35436/5324676645.exe

Le 28 octobre, les chercheurs Proofpoint ont identifié une nouvelle campagne d'envergure, conçue vraisemblablement par le même créateur. Elle diffusait elle aussi le programme Shifu auprès d'utilisateurs britanniques à l'aide d'un leurre de type « Confirmation de commande » et d'une pièce jointe malveillante. Dans un autre exemple illustrant les différentes charges utilisées par ce même développeur, la campagne avait recours à un botnet Neutrino en tant que charge initiale, qui, dans un deuxième temps, téléchargeait le programme Shifu.

Programme malveillant Ursnif visant à dérober des données

En octobre, il a été découvert que ce botnet de spams a également procédé à la diffusion du programme malveillant Ursnif. Par exemple, le 21 octobre, dans le cadre d'une campagne d'envoi de courriers électroniques contenant des pièces jointes nommées de façon aléatoire à des utilisateurs australiens, des macros malveillantes ont été utilisées pour télécharger Ursnif. Il est intéressant de constater que les documents se présentaient de la même façon que lors de la diffusion du sous-botnet 200 Dridex au mois d'avril 2015. (Figure 5)

Figure 5 : Document téléchargeant Ursnif, une fois les macros activées

The Ursnif sample analyzed by Proofpoint targeted users of the following banking sites:

suncorpbank.com.au
commbank.com.au
bendigobank.com.au
westpac.com.au
stgeorge.com.au
banksa.com.au
bankofmelbourne.com.au
nab.com.au
anz.com
ibanking.*.au
bankwest.com.au
banking?.anz.com
wintrade-international.com.au

Conclusion

D'après leurs récentes observations, les chercheurs Proofpoint ont pu confirmer que le botnet 220 Dridex avait bel et bien réussi à survivre aux récentes tentatives de neutralisation. Par ailleurs, ces analyses révèlent que les développeurs du botnet 220 Dridex sont également à l'origine des récentes campagnes Shifu au Royaume-Uni et au Japon, ainsi que d'au moins une campagne Ursnif lancée contre des clients de banques australiennes. Ces découvertes soulignent la résilience et la capacité d'adaptation de ces créateurs, et mettent en évidence le danger qu'ils continuent de représenter pour les individus et les entreprises.

Références

[1] http://www.secureworks.com/cyber-threat-intelligence/threats/dridex-bugat-v5-botnet-takeover-operation/
[2] https://isc.sans.edu/forums/diary/Botnets+spreading+Dridex+still+active/20295
[3] www.justice.gov/opa/pr/bugat-botnet-adaministrator-arrested-and-malware-disabled
[4] https://www.lexsi.com/securityhub/dridex-bruteres-inside-the-dridex-spam-machine/?lang=en
[5] http://researchcenter.paloaltonetworks.com/2015/10/dridex-is-back-and-targeting-the-uk/
[6] https://securityintelligence.com/shifu-masterful-new-banking-trojan-is-attacking-14-japanese-banks/
[7] http://www.darkreading.com/vulnerabilities---threats/new-shifu-banking-trojan-an-uber-patchwork-of-malware-tools/d/d-id/1322039

IOCs