Une partie du canal de distribution du botnet Dridex pourrait avoir été piratée et des liens malveillants remplacés par des programmes d’installation de l’antivirus Avira. Les exploitants du réseau Dridex étant peu enclins à distribuer une solution antivirus, la personne ayant opéré ces changements peut être un pirate informatique de type « white hat » ou « chapeau blanc » cherchant à brouiller les pistes, selon les chercheurs Avira.
Le botnet Dridex est revenu à la vie après son démantèlement si médiatisé par les autorités nord-américaines fin 2015. Dridex dérobe des enregistrements de frappe sur les ordinateurs infectés et exploite des redirections de liens transparentes et des injections web pour manipuler les sites Internet bancaires. Disséminé par du spam chargé de logiciels malveillants, il a déjà engendré des pertes estimées à des dizaines de millions d’euros en Europe et aux États-Unis.
Dridex est disséminé par du spam, contenant généralement un document Word comportant lui-même des macros malveillantes. Une fois le fichier ouvert, les macros téléchargent la charge virale depuis un serveur piraté et infectent l’ordinateur.
Mais dans ce cas de figure, les fichiers du serveur ont été modifiés. « Le contenu qui se cache derrière l’URL de téléchargement des logiciels malveillants a été remplacé et fournit désormais une version d’origine et mise à jour du programme d’installation web pour Avira au lieu du chargeur Dridex habituel », avance Moritz Kroll, expert en logiciels malveillants chez Avira.
Pour l’utilisateur de l’ordinateur final, ceci signifie qu’il obtient une version valide et certifiée d’Avira au lieu des logiciels malveillants Dridex.
Toute cette histoire semble tout droit inspirée de L’Art de la Guerre de Sun Tzu qui écrit : « Tout le secret réside dans l’art de confondre l’ennemi afin qu’il ne puisse comprendre notre intention réelle. »
Et Kroll d’expliquer : « Nous ne savons toujours pas exactement qui s’amuse ainsi avec notre programme d’installation et pour quelles raisons – mais nous avons échafaudé quelques théories. » « Ce n’est certainement pas un jeu auquel nous nous plions nous-mêmes. »
Deux théories de base sont avancées pour expliquer les faits :
Théorie nº 1. Les cybercriminels s’y emploient pour déjouer le processus de détection d’Avira et d’autres éditeurs d’antivirus. Kroll rejette cette possibilité : « Nous ne pensons pas que ces personnes malintentionnées distribueraient volontairement le programme d’installation Avira – elles ne voudraient pas améliorer le niveau de protection sur les machines de leurs victimes. »
Théorie nº 2. Un « white hat hacker » est à l’œuvre – et souhaite faire ceci en privé. « Il est possible qu’un chapeau blanc ait piraté des serveurs web infectés en exploitant les mêmes vulnérabilités que les auteurs des logiciels malveillants ont utilisées en premier lieu, et ait remplacé les mauvais éléments par le programme d’installation Avira », explique Kroll. Les pirates – si tant est que de telles personnes opèrent les changements – veulent rester masqués. « Même si ce qu’ils font est fondamentalement utile, cela n’en demeure pas moins illégal dans la plupart des pays, ce qui explique qu’ils souhaitent masquer leur intrusion ou protéger leur identité. »
Le programme d’installation Avira avait été ajouté aux rançonlogiciels CryptoLocker et Tesla dans le passé. « Dans le cas de CryptoLocker, les logiciels malveillants attendaient dans de nombreux cas, mais pas tous, une communication CnC, de sorte que l’exécutable n’était pas accepté et Avira ne pouvait pas être exécuté. Et nous avions pu observer à ce moment que nombre de changements avaient été opérés sur un fournisseur spécifique », selon Kroll. Concernant Tesla, les motifs justifiant l’ajout du programme d’installation Avira ne sont toujours pas clairs.
D’après le département de recherche Avira, la liste partielle des institutions financières ciblées par Dridex englobe Barclays, Berliner Bank, BNP Paribas, Commerzbank, Crédit Agricole, Deutsche Bank, HSBC, La Banque Postale, Natwest, Raiffeisen, RBS, Santander, Société Générale, Sparda, Sparkasse, Ulsterbank et Wells Fargo.