[MàJ 01/07/2015] – [Bulletin d’alerte Cyberprotect] Campagne courriel malveillant – Trojan Bancaire Dridex

MàJ 04/08/2015 La menace reste toujours d’actualité. Les envois envoi de courriels malveillants continue. Les adresses IP varient régulièrement, cependant, on note une constante dans les URL. Il est recommandé de bloquer, dans les différents outils de filtrage d’URL,  les adresses se terminant par  » /bt/bt/*.php  » (où * est une variable aléatoire) . Dans…

MàJ 04/08/2015

La menace reste toujours d’actualité. Les envois envoi de courriels malveillants continue.

Les adresses IP varient régulièrement, cependant, on note une constante dans les URL.

Il est recommandé de bloquer, dans les différents outils de filtrage d’URL,  les adresses se terminant par  » /bt/bt/*.php  » (où * est une variable aléatoire) .

Dans le cas où le service « Pastebin..com » n’est pas utilisé il est recommandé de bloquer ce site sur les différents équipements de sécurité.

Un changement plus important dans la méthodologie de compromission peut arriver, il faut donc rappeler aux utilisateurs d’être vigilant lors de la réception de pièce jointe.

Il est également nécessaire de désactiver l’exécution automatique des macros sur les logiciels de bureautique.


 

MàJ 01/07/2015

La menace reste toujours élevée à ce jour. Une nouvelle vague d’envoi de courriel malveillant a eu lieu en ce début de semaine.

Les adresses IP varient régulièrement, cependant, on note une constante dans les URL.

Il est recommandé de bloquer, dans les différents outils de filtrage d’URL,  les adresses se terminant par  » /bt/bt/get*.php  » (où * est une variable aléatoire) .

Un changement plus important dans la méthodologie de compromission peut arriver, il faut donc rappeler aux utilisateurs d’être vigilant lors de la réception de pièce jointe.

Il est également nécessaire de désactiver l’exécution automatique des macros sur les logiciels de bureautique.

———————

 

MàJ 17/06/2015

La menace reste toujours élevée à ce jour. Une nouvelle vague d’envoi de courriel malveillant a eu lieu ce mercredi 17 juin 2015.

La méthode d’infection reste la même, l’URL utilisé se termine par  »  /bt/bt/get9.php  » , cependant le blocage de la plage d’adresse 212.76.130[.]0/24 permet d’éviter l’infection.

Un changement plus important dans la méthodologie de compromission peut arriver, il faut donc rappeler aux utilisateurs d’être vigilant lors de la réception de pièce jointe.

Il est également nécessaire de désactiver l’exécution automatique des macros sur les logiciels de bureautique.

———————

Bonjour,

Ce bulletin d’alerte fait suite à celui émis lundi 8 juin 2015, nous y apportons des mesures de prévention à déployer.

Une campagne de propagation du Trojan Bancaire Dridex vise actuellement les entreprises françaises.

Nous constatons un nombre d’envoi particulièrement élevé depuis aujourd’hui, lundi 8 juin 2015 à 11h.

La diffusion se fait par courriel (la plupart du temps traitant de factures impayées) contenant une ou plusieurs pièces jointes malveillantes. Ces courriels contiennent un message rédigé en français et invitant à traiter une facture.

La pièce jointe contient en réalité un programme malveillant qui va télécharger et installer le Trojan Bancaire.

L’opération d’infection est totalement transparente pour l’utilisateur.

Les scripts contenus dans les documents joints, exécutent un script hébergée sur pastebin..com qui fait exécuter une macro malveillante.

Cette macro fait télécharger le Trojan Bancaire Dridex sur la machine.

La machine infectée transmet alors des informations vers des serveurs malveillants, en particulier, toute information bancaire trouvée sur la machine.Dans le cas, où des connexions à des comptes bancaires ont été réalisées à partir de ces machines, il est alors conseillé de vérifier régulièrement qu’il n’y a pas eu de transactions frauduleuses effectuées sur ces comptes.

Merci de bloquer les adresses IP suivantes sur vos différents équipements de sécurité :

185.91.175[.]161
212.76.130[.]0/24

Ces adresses IP varient régulièrement, nous vous demandons donc de bien vouloir bloquer sur vos outils de filtrage Web, les URL se terminant par  » /bt/bt/get5.php  »

Il est également préférable de désactiver l’exécution automatique des macros sur les logiciels de bureautique.

Merci de mettre en garde les utilisateurs de votre entreprise et rappeler d’être particulièrement vigilant lors de l’ouverture d’une pièce jointe, notamment concernant les fichiers terminant par “.cab” “.scr” “.zip” ”.exe” ainsi que les fichiers bureautiques (“.doc” “.xls” “.ppt”).

N’hésitez pas à vous appuyer sur les bonnes pratiques présentes à cette page http://labo.cyberprotect.fr/?page_id=127

En cas de doute sur une pièce jointe, n’hésitez pas à nous contacter.

React