Le botnet Dridex / Bugat encore actif malgré l’incarcération de ses administrateurs

Les autorités américaines ont déposé plainte contre les administrateurs du botnet Dridex après avoir annoncé la fin de ce complot criminel d’envergure internationale. Cependant, il semblerait qu’elles ne soient pas parvenues à assurer l’extinction totale de ce botnet insaisissable.

Les chercheurs d’Avira ont en effet rapporté qu’il pourrait être encore partiellement opérationnel. « J’ai testé notre Botchecker à l’aide d’un échantillon datant d’hier et j’ai ainsi identifié un nœud primaire qui répond encore, diffusant le principal composant de Dridex, ainsi qu’une liste de nœuds secondaires », indique Moritz Kroll, chercheur spécialisé dans les logiciels malveillants chez Avira.

La suppression d’un botnet peut s’avérer très ardue. « J’ai entendu parler de l’emprisonnement au mois d’août. Le botnet a effectivement connu une interruption, mais il a ensuite refait surface au mois d’octobre », ajoute le chercheur. « Il sera intéressant de voir si l’on a cette fois réellement sonné la fin du réseau. »

Le botnet aurait permis le vol d’au moins 10 millions de dollars rien qu’aux États-Unis. Le démantèlement a eu une portée internationale : les deux administrateurs présumés du botnet sont moldaves, ils ont été arrêtés à Chypre et doivent désormais répondre devant la cour américaine en Pennsylvanie.

Dridex était présent à l’échelle mondiale. « Le botnet était particulièrement actif », de préciser Ayoub Faouzi, chercheur spécialisé dans les logiciels malveillants chez Avira. « Nous avons rencontré un grand nombre d’échantillons malveillants en provenance de ce botnet. » Tous étaient caractérisés par Avira comme des virus bancaires. « Dridex visait le vol des informations sensibles et coordonnées bancaires des utilisateurs, c’est pourquoi nous l’avons gardé dans le collimateur », explique Faouzi.

Le département de la justice des États-Unis a quant à lui caractérisé Dridex de « logiciel malveillant polyvalent » utilisant des enregistreurs de frappe et des injections de code. Les autorités américaines ont également précisé qu’il avait été spécifiquement conçu pour contourner les programmes antivirus et autres mesures de protection.

« Dridex se dissimulait derrière un grand nombre de chiffreurs et autres programmes de compression », explique Kroll. « Nous l’avons désossé pour identifier les points d’entrée dans le botnet. La compilation d’un botchecker dédié à Dridex nous a permis d’utiliser ce botnet comme source automatique de nouvelles adresses IP C&C et de composants malveillants. »

 

Cet article est également disponible en: AnglaisItalien

As a PR Consultant and journalist, Frink has covered IT security issues for a number of security software firms, as well as provided reviews and insight on the beer and automotive industries (but usually not at the same time). Otherwise, he’s known for making a great bowl of popcorn and extraordinary messes in a kitchen.