32131309/21 - Malware « Dridex » diffusé par une campagne de phishing

FortiGuard Labs annonce la découverte d’une nouvelle campagne de phishing diffusant un nouveau variant du malware "Dridex". Dans le but de collecter des données sensibles sur la machine de la victime, un attaquant envoie par mail une pièce jointe Microsoft Excel malicieuse avec une macro malveillante intégrée.

Le malware "Dridex" est installé une fois que la victime ouvre le document malicieux. Parmi les actions exécutées après l’installation du malware :
• exécution de ligne de commande WMI "wmic.exe" pour créer un nouveau processus "rundll32.exe", qui charge le payload Dridex "icXBOuZukiASGnpfVowZ.dll".
• appelle de la fonction d'exportation "ReportDeviceAdd" pour exécuter les fonctions malveillantes.
• pour échapper à la détection, "Dridex" utilise les techniques suivantes:
- toutes les API sont cachées et sont trouvées par le code de hachage de leur nom.
- des chaînes de constantes entières sont cryptées en mémoire et décryptées avant d'être utilisées.
- certaines API sont appelées de manière à lever volontairement une exception (0x80000003).
• les données volées sont placées dans des paquets formatés, chiffrés et envoyées au serveur de commande et de contrôle (C2) en utilisant la méthode HTTP POST.

Il est recommandé aux utilisateurs de faire preuve de vigilance à l'égard des courriels reçus de sources inconnues avant de cliquer ou de télécharger les pièces jointes fournies afin de prévenir le risque de compromission.

Date de publication: 
13 septembre 2021