[INFO] [ATTAQUE] Suite à la recrudescence des pourriels délivrant le malware Dridex, l'ANSSI publie une mise à jour de son ancienne alerte

Bulletin CXA-2015-2384
Titre Suite à la recrudescence des pourriels délivrant le malware Dridex, l’ANSSI publie une mise à jour de son ancienne alerte
Titre officiel Campagne de pourriels avec documents Microsoft Office malveillants
Criticité Criticite Elevée
Date 22 Juillet 2015
Description Il y a plusieurs semaines, l’ANSSI et les différents CERT français alertaient les entreprises et les particuliers du danger représenté par la prolifération de courriel envoyés par les pirates. En effet, différentes campagnes de pourriels ont été observées au début du mois de juin dernier. Les pirates tiraient alors partie de ces campagnes pour déployer sur le plus grand nombre de système le célèbre malware Dridex.

Hier en fin de journée, l’ANSSI a renouvelé ses recommandations. L’agence a également mis à jour son alerte, en publiant de nouveau marqueurs caractérisant les campagnes fraichement observées.
http://pastebin.com._BAD_/download.php?i=1YzPHtum
http://pastebin.com._BAD_/download.php?i=eLm1enkF
http://pastebin.com._BAD_/download.php?i=vmCDsgcn
http://pastebin.com._BAD_/download.php?i=2sFBJeqD
http://pastebin.com._BAD_/download.php?i=QsfRd36A
http://pastebin.com._BAD_/download.php?i=WhcTRLi0
http://pastebin.com._BAD_/download.php?i=bPCnR5rx
http://pastebin.com._BAD_/download.php?i=63F8xJCw
http://pastebin.com._BAD_/download.php?i=79qzRcFp
http://pastebin.com._BAD_/download.php?i=AZ7DtEcG
http://pastebin.com._BAD_/raw.php?i=AZ7DtEcG
http://178.33.200.166._BAD_/bt/bt/get2007.php
http://www.adriatic-stone.hr._BAD_/64/11.exe
http://g6000424.ferozo.com._BAD_/25/10.exe
http://olyphia.nl._BAD_/45/47.exe
http://travellersvolunteers.org._BAD_/20/12.exe
http://travellersworldwide.co.za._BAD_/20/12.exe
http://slavenjeffcote.co.uk._BAD_/81/50.exe
http://cauldronprojects.eu._BAD_/81/50.exe
http://milieuboot.be._BAD_/81/50.exe
http://spgroups.com._BAD_/20/12.exe
http://weingut-egert.de._BAD_/99/01.exe
http://atfxsystems.co.uk._BAD_/99/01.exe
http://www.dressurstall-sonnenhof.de._BAD_/99/01.exe
http://prignon.com._BAD_/99/01.exe
http://gervifrais.com._BAD_/554/33.exe
http://storesidf.com._BAD_/554/33.exe
http://labriardeentreprises.com._BAD_/554/33.exe
http://orpibriecomterobert.com._BAD_/554/33.exe
https://94.23.53.23._BAD_:2443/
https://176.99.6.10._BAD_:8443/
https://173.230.130.172._BAD_:2443/
https://203.151.94.120._BAD_:4443/
https://31.186.99.250._BAD_:8443/
https://146.185.99.250._BAD_:8443/
https://185.12.95.40._BAD_:7443/
https://50.63.174.16._BAD_:6443/
https://79.143.191.147._BAD_:6443/
https://37.143.9.63._BAD_:4433/
https://195.169.147.79._BAD_:1443/
https://69.164.213.85._BAD_:1443/
https://118.174.151.27._BAD_:943/
https://178.62.25.84._BAD_:449/
https://162.243.12.14._BAD_:449/
https://176.9.118.201._BAD_:449/
https://188.93.73.90._BAD_:449/
https://91.121.91.221._BAD_:1443/
https://95.169.147.79._BAD_:1443/
https://199.241.30.233._BAD_:449/
https://151.248.123.100._BAD_:743/
https://194.58.96.45._BAD_:4543/
https://31.131.251.33._BAD_:743/
https://62.210.214.106._BAD_:448/
https://68.169.49.213._BAD_:448/

L’ANSSI rapelle également les principales recommandations à appliquer pour se protéger contre ce type de menace :
– ne pas ouvrir les documents ou les pièces jointes non sollicités ;
– désactiver l’exécution automatique des macros dans les suites bureautiques ;
– maintenir le système d’exploitation et l’anti-virus à jour.

La désactivation de l’exécution automatique des macros se paramètre dans le menu suivant :
– Fichier / Options / Centre de gestion de la confidentialité / Paramètre du Centre de gestion de la confidentialité / Paramètres des macros / Désactiver toutes les macros avec notifications

Référence http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-024/index.html#SECTION00020000000000000000

https://cert.xmco.fr/veille/index.xmco?nv=CXA-2015-1810

CERT-XMCO

Découvrir d'autres articles