[INFO] Des hackers prennent le contrôle du botnet Dridex pour distribuer l’antivirus Avira

[INFO] Des hackers prennent le contrôle du botnet Dridex pour distribuer l’antivirus Avira

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur la compromission de l’infrastructure de Command & Control du botnet Dridex.

Dridex malware exploit distributes antivirus installer-hack suspected Botnet 08 février 2016

Criticité
Moyenne
Description
Les pirates officiants derrière le botnet Dridex sont particulièrement malmenés ces derniers mois.

En effet, depuis octobre dernier, Dridex est la cible d’opérations judiciaires à l’initiative des forces de l’ordre de nombreux pays. Ainsi, les États-Unis et le Royaume-Uni ont récemment déployé des moyens importants pour perturber les activités criminelles du groupe de pirates.

D’après plusieurs sources, un hacker « bienveillant » s’en est pris aux criminels il y a quelques jours seulement. Ce dernier, dont l’identité n’est pas connue, a réussi à prendre le contrôle du serveur depuis lequel était téléchargé le malware, afin de le remplacer par le programme permettant d’installer l’antivirus Avira.

Afin d’offrir une protection supplémentaire aux potentielles victimes, ce « gentil » pirate s’appuie sur l’infrastructure des auteurs du malwares pour distribuer l’antivirus, mais il profite également des infrastructures de diffusion du malware puisque le déclenchement de l’installation de l’antivirus reste l’ouverture du document Word placé en pièce jointe du spam envoyé massivement aux internautes.

Le processus d’installation est donc similaire à celui de la compromission du poste de la victime. Cette dernière reçoit un email de type spam, l’ouvre pour le lire, puis ouvre la pièce jointe qu’il contient. Cette pièce jointe intègre une macro permettant de télécharger l’antivirus (en lieu et place du malware), et de démarrer le processus d’installation.

L’éditeur Avira a confirmé ne pas être à l’origine de cette « attaque » ayant ciblé les criminels. La société ne sait pas non plus pourquoi son logiciel a été retenu pour être diffusé de la sorte. Ce n’est cependant pas la première fois qu’Avira est utilisé conjointement avec un malware. Les auteurs de Cryptolocker et de Tesla avaient également vu leur outil utilisé par des pirates bienveillants pour diffuser l’antivirus Avira.

Référence(s)

Dridex botnet distributor now serves Avira


http://arstechnica.com/security/2016/02/dridex-malware-exploit-distributes-antivirus-installer-hack-suspected/
http://www.theregister.co.uk/2016/02/04/dridex_botnet_pwned/
http://www.net-security.org/malware_news.php?id=3198
http://www.generation-nt.com/botnet-dridex-antivirus-avira-hacker-actualite-1924552.html

Référence CERT-XMCO
CXN-2016-0401

Cert-XMCO