Télécharger le fichier joint

Le 27 octobre l’agence de communication Pixolutions a été victime du malware Dridex, l’entreprise dirigée par Thierry BERNAL est installée à Muret
depuis 2002. L’agence spécialisée dans la communication d’entreprises (conception, web, impression, ...) a en effet vu son standard téléphonique
saturé en moins d’une heure (un appel toutes les 15 secondes ...), sa messagerie vocale saturée, sa messagerie mail «explosée» ... et ses comptes
bancaires ... convoités et SURTOUT SON IDENTITÉ USURPÉE.
Un mail contenant un virus (Dridex) et intitulé «... Pixolutions ...» a été très largement diffusé en Europe, celui-ci a provoqué de très nombreux appels et mails
adressés à l’agence pour connaitre les motifs de ce mail «bizarre». Pixolutions a toujours bénéficié d’une image irréprochable auprès de sa très fidèle clientèle.
L’agence a donc dû réagir face à cette situation de gestion de crise.
«Nous avons tout d’abord été surpris, mais au deuxième appel déjà nous avons compris qu’il fallait réagir, nous avons toujours énormément de commandes et
nos clients comptent sur nous, nous avons de suite réagi en isolant nos lignes téléphonique et mail de façon à pouvoir nous consacrer à nos clients qui savent
nous joindre par d’autres moyens... [...]
Très rapidement nous avons réuni nos partenaires (banques, administrateurs web, sécurité informatique, cyber-gendarmerie et gendarmerie de Muret).
Les systèmes bancaires ayant globalement fonctionnés pour bloquer les opérations initiées, nous nous sommes isolés volontairement mais par obligation surtout
afin de pouvoir assurer la production des travaux en cours. Bien sûr le préjudice subit n’est pas indolore mais nous avons fait le nécessaire pour nos clients.
La banque a fait son travail, le plus préjudiciable pour nous en fait, était de voir notre notoriété jusque-là sans faille, entachée en moins de 2h ...
Nous n’étions pas expéditeurs de ces mails mais simplement mentionnés dans le sujet de celui-ci.[...]
Légitimement les destinataires ont pu suspecter une action volontaire de notre part et ont cherché à nous contacter, tous ont collaboré avec nos services.
Cherchant à résoudre cette situation nous avons choisi d’Alerter, d’Informer et de Communiquer»
Le malware Dridex cible
des entreprises françaises. …
Depuis quelques jours, les entreprises françaises
subissent une attaque visant à les infecter par
un trojan bancaire connu sous le nom de Dridex.
L’un des logiciels malveillants les plus virulents
de 2015 fait son retour en France : plusieurs
vagues d’envois massifs de courriels contenant
le virus Dridex ont été constatées ces derniers
jours. Ce malware de type « cheval de Troie»
s’installe sur les ordinateurs Windows via
pièces jointes piégées, dans le but de voler des
coordonnées bancaires.
D’où vient ce virus ?
Identifié dès juillet 2014 et repéré dans au moins
26 pays, Dridex n’a jamais vraiment disparu. Fin
août, une opération internationale coordonnée
par le FBI et Europol (E3C), les agences de
sécurité américaine et européenne, aboutissait
à l’arrestation du Moldave Andreï Ghinkul, dit
«Smilex», principal administrateur du virus.
On pensait le virus totalement disparu.
le 1er octobre, une nouvelle activité de Dridex est
détectée au Royaume-Uni, puis le 14 octobre,
selon les experts.
Et effectivement, en France, le CERT-FR avertit
le 23 octobre qu’une soixantaine de vagues
d’envois massifs d’e-mails piégés visant la
France ont eu lieu en moins de quinze jours.
Une nouvelle technique d’assemblage du code
dite « just-in-time « (ou à la volée) permet
aux pirates d’éviter les détections, mais aussi
d’adapter plus rapidement le malware
Ecrits dans un français très correct et sans
faute d’orthographe, ces textes courts, et
suffisamment sibyllins pour inquiéter ceux qui
les reçoivent, ont déjà fait l’objet d’une première
alerte officielle émanant du CERT-FR.
Comment s’en débarrasser ?
Une société française de sécurité (Lexsi) propose
un simple outil de détection permettant tout à la
fois de vérifier sa présence sur un ordinateur
puis de l’éradiquer complètement. Il est
également possible, de nettoyer manuellement
son ordinateur.
https://goo.gl/Kg5Vz0
Comment fonctionne t-il ?
Analyse de cette attaque par le G DATA SecurityLabs:
Infection en 4 étapes
Le mail reçu se présente de façon anodine,
l’attaque commence par un spam en français.
Le contenu de l’email évoque une facture ou
une commande soi-disant effectuée. En pièce
jointe se trouve le document en question : un
document Microsoft Office. Si le destinataire
tente d’ouvrir le document Word joint le logiciel
de Microsoft va demander à l’utilisateur s’il veut
activer les macros (pour interpréter les codes
éventuellement contenus dans le document).
Deuxième phase : si le destinataire tente
d’ouvrir le document Word joint, une page vierge
s’affiche, et le logiciel de Microsoft va interpréter
les codes contenus dans le document Office.
le virus et activé va lancer le téléchargement
discret d’un premier code malicieux.
La troisième étape consiste donc à charger
ce code malveillant (le Payload), un VBS
(Visual Basic Script) qui va alors télécharger
un exécutable, l’installer dans %APPDATA% et
l’exécuter.
Il ne reste plus au pirate qu’à décider quand
et quel programme utiliser et installer pour
récupérer les données personnelles et bancaires
puis effectuer des opérations frauduleuses.
Quatrième étape : le téléchargement du
downloader, lui-même dédié au téléchargement
du code malveillant final. Dans les cas analysés
durant les derniers jours, le code téléchargé est
le trojan bancaire Dridex. Mais en fonction du
bon vouloir de l’attaquant, le downloader peut
être commandé afin de télécharger un autre
programme malveillant. Ainsi, dans plusieurs
autres emails en français détectés ces derniers
jours, certains downloaders ne téléchargeaient
aucun code, mais étaient en attente.
«Nous relayons l’alerte de l’agence de sécurité
française ANSII et l’analyse effectuée par
l’éditeur G Data dans son laboratoire. Des
centaines d’entreprises ont déjà été abusées et
les versements bancaires frauduleux sont très
importants, ils portent désormais sur plusieurs
millions d’euros. Cette attaque de forte ampleur
a fait l’objet d’une alerte de la part de l’ANSSI,
(lire ci-dessous) :»
Le CERT-FR alerte sur des pourriels qui se
diffusent depuis une semaine en dépit des filtres
antispam : attention aux macros malveillantes
qu’ils diffusent !
Ces pourriels sont d’autant plus dangereux qu’ils
contiennent des documents Microsoft Office
contenant des macros VBA malveillantes.
Ces pourriels sont très souvent rédigés dans un
français sans faute, la tournure n’attire dons pas
spécifiquement l’attention. Le sujet et le contenu
du pourriel mentionnent des problèmes de
facturation, dans la plupart des cas pour inciter
le destinataire à ouvrir la pièce jointe.
Afin de se protéger contre ce type de menace,
les conseils habituels sont rappelés :
- Ne pas ouvrir les documents ou les pièces
jointes non sollicités ;
- Désactiver l’exécution automatique des macros
dans les suites bureautiques ;
- Maintenir le système d’exploitation et l’antivirus
à jour.
- Le bulletin d’actualité du CERT-FR détaille les
formats de documents et techniques utilisées
ainsi que les parades à mettre en place.
En savoir plus
Consulter les bulletins d’actualité sur le site du CERTFR, le bulletin du 15 juin à : http://www.cert.ssi.gouv.fr/
site/CERTFR-2015-ACT-024/index.html
VBA : Visual Basic for Application est une
implémentation de Microsoft Visual Basic intégrée
dans l’ensemble des applications de Microsoft
Office.
pourriels : mails contenants des virus informatiques
CERT-FR : le Centre gouvernemental de veille,
d’alerte et de réponse aux attaques informatiques.
www.cert.ssi.gouv.fr/site/CERTFR-2015-ALE-012/
index.html
www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-024/
index.html