Logiciel malveillant pair-à-pair Dridex

Numéro : TR15-005
Date :
13 octobre 2015

Public

Le présent rapport est destiné aux organisations des gouvernements fédéral, provinciaux/territoriaux et municipaux, aux responsables des infrastructures essentielles et autres industries connexes qui peuvent avoir des systèmes informatiques touchés par Dridex. On encourage les destinataires n’ayant pas de connaissances techniques à visiter le site Pensezcybersecurite.ca afin d’obtenir de l’information leur permettant de protéger leur sécurité en ligne.

Objet

Le présent document fournit des directives sur la façon de rétablir un système informatique infecté par le logiciel malveillant Dridex. Il contient également des conseils de prévention visant à atténuer les risques liés à cette menace.

Aperçu

Dridex, un maliciel découvert en 2009 transmis de pair-à-pair utilisé pour dérober les authentifiants bancaires, utilise une infrastructure de réseau décentralisé d’ordinateurs personnels infectés et de serveurs Web pour exécuter ses activités de commandement et de contrôle. Le Centre canadien de réponse aux incidents cybernétiques (CCRIC), en collaboration avec des partenaires internationaux, publie le présent rapport technique afin de fournir plus d’informations sur le réseau d’ordinateurs zombies Dridex.

Description

Dridex est un ensemble de logiciels malveillants multifonctionnel qui est utilisé depuis la fin de 2009. Son objectif principal consiste à infecter des ordinateurs, à dérober des authentifiants, puis à obtenir de l’argent depuis les comptes bancaires des victimes. Utilisé principalement comme cheval de Troie bancaire, le logiciel malveillant Dridex est généralement distribué dans des messages d’hameçonnage envoyés par courriel et a recours à des liens malveillants ou des macros dans les pièces jointes Microsoft Office pour infecter les systèmes. Les messages courriel semblent légitimes et sont conçus avec soin pour inciter la victime à cliquer sur un lien hypertexte ou à ouvrir une pièce jointe. Une fois qu’un ordinateur a été infecté, Dridex est capable de dérober les authentifiants de l’utilisateur en enregistrant de manière indétectable les frappes de son clavier et en utilisant de l’injection Web. Dridex, comme la plupart des familles de logiciels malveillants modernes, est spécifiquement conçu pour mettre en échec les antivirus et d’autres mesures de protection.

Un système infecté par Dridex peut être utilisé pour envoyer des pourriels, participer à des attaques de déni de service distribué (DDoS) et dérober les authentifiants des utilisateurs auprès de services en ligne, y compris des services bancaires.

Mesures d'atténuation

Le CCRIC recommande les mesures suivantes pour faciliter la lutte contre les infections à Dridex :
- Utilisez et tenez à jour un logiciel antivirus – Un logiciel antivirus reconnaît les virus connus et protège votre ordinateur contre ceux-ci. Il est important de maintenir votre logiciel antivirus à jour.
- Modifiez vos mots de passe – Vos mots de passe originaux pourraient avoir été divulgués lors de l’infection.
- Tenez votre système d’exploitation et vos logiciels à jour – Installez des correctifs logiciels afin que les attaquants ne puissent pas profiter de problèmes ou de vulnérabilités connus. De nombreux systèmes d’exploitation offrent des mises à jour automatiques.

Les liens suivants, qui vous dirigent vers des outils couramment employés, ne sont fournis qu’à des fins informatives et ne doivent pas être interprétés comme l’appui d’un outil ou d’une technologie en particulier :

- ESET
http://www.eset.com/us/online-scanner/
- F-Secure
https://www.f-secure.com/fr_FR/web/home_fr/online-scanner
- McAfee
http://www.mcafee.com/uk/downloads/free-tools/stinger.aspx (en anglais) 
- Microsoft
http://www.microsoft.com/security/scanner/fr-ca/default.aspx
- Sophos
https://www.sophos.com/fr-fr/products/free-tools/virus-removal-tool.aspx
- Trend Micro
http://housecall.trendmicro.com/ (en anglais) 

Date de modification :