Depuis un mois des spams faisant référence à des factures impayées font leurs apparitions dans les adresses électroniques. Les mails en question sont en français et sont élaborés sans aucune faute de grammaire, d’orthographe ou de conjugaison, ce qui fait exception à la règle des spams en général. La principale caractéristique de ce phénomène est que le message contient un document Microsoft Office sous forme de pièce jointe qui dissimule un code d’attaque à l’ouverture.
C’est le cas aussi de certaines variantes des fichiers en DOCX, DOCM, XLS ou XML qui véhiculent une Macro. En plus l’objet du message est libellé de manière à ce que le destinataire ne puisse s’empêcher de le lire et d’ouvrir le document. Le fichier en pièce jointe possède plusieurs variantes qui sont dotées d’une macro VBA qui se déclenche dès son ouverture. Cette macro après exécution permettra au document Word via un script en Visual Basic de télécharger un code malveillant. Ce code prend plusieurs formes et échappe au dispositif de scanning de la plupart des logiciels antivirus. Sa présence dans la mémoire d’un ordinateur compromet la sécurité de celui-ci. Le but de code est de télécharger étape par étape un virus du nom de Dridex pour certains systèmes ou Drixed pour d’autres. En réalité, le téléchargement de Dridex se fait directement (rôle de la macro VBA) ou par l’intermédiaire du script VBS téléchargé lui-même sur un site. Ainsi, ce dernier démarrera le téléchargement et l’installation du malware.
Il est important de signaler que Dridex appartient depuis longtemps au panorama des malwares bancaires. Actuellement, il a refait surface conformément aux événements survenus dernièrement. Ce trojan est réputé pour sa capacité à récupérer les données bancaires en plus de ses attributs d’espion. L’analyse des versions de Dridex apparues ces derniers jours révèle que ce virus attaque exclusivement sinon majoritairement les banques françaises. Le plus surprenant est qu’il est capable de lire les codes d’accès en dépit des stratégies mises en œuvre par les banques sur leurs sites pour éviter le piratage (claviers visuels). Les attaques les plus alarmantes ayant été détectées datent entre le 30 Juin 2015 et le 23 Juillet dernier. Toutefois, il est à noter qu’il y a des jours où les attaques ont été quasiment caduques. Malheureusement, la quasi-totalité des antivirus proposés sur le marché n’arrivent pas à détecter et neutraliser ces genres de virus. Seuls certains services évolués de protection de la messagerie intégrant plusieurs antivirus et antispam sont en une alternative la plus fiable qui détecter ces fichiers malveillants.
Comme vous l’aurez compris, il est fortement déconseillé d’ouvrir les pièces jointes contenues dans ce type d’emails.
Spam, anti-spam, mta, email, fqdn 