Les cybercriminels à l'origine du cheval de Troie bancaire Dridex ont adopté une nouvelle tactique lors de récentes attaques visant les appareils macOS, en écrasant les fichiers de documents de la victime pour délivrer leur code malveillant, rapporte Trend Micro.

Actif depuis au moins 2012 et considéré comme l'une des menaces financières les plus répandues, Dridex a survécu à une tentative de démantèlement en 2015 et est resté opérationnel après avoir reçu diverses mises à jour. En 2019, le DHS a mis en garde contre des attaques continues de Dridex visant les institutions financières.

Selon Trend Micro, une attaque Dridex récemment observée et ciblant macOS s'est distinguée par une tactique inédite employée pour déguiser le document Microsoft Word malveillant utilisé pour la diffusion du malware.

Les attaquants distribuent un fichier exécutable Mach-o conçu pour rechercher les fichiers .doc dans le répertoire de l'utilisateur actuel et écrire un code macro malveillant dans chacun d'entre eux (en vidage hexadécimal simple, et non en contenu).

Bien que la fonction macro de Microsoft Word soit désactivée par défaut, le logiciel malveillant écrase tous les fichiers de document de l'utilisateur actuel, y compris les fichiers propres. Il est donc plus difficile pour l'utilisateur de déterminer si le fichier est malveillant puisqu'il ne provient pas d'une source externe.

L'analyse des documents écrasés a révélé l'inclusion d'une macro AutoOpen destinée à appeler plusieurs fonctions aux noms d'apparence normale, mais qui étaient destinées à effectuer des actions néfastes.

Selon Trend Micro, la charge utile fournie par la macro était un fichier .exe destiné à récupérer le chargeur Dridex. Bien que le fichier .exe ne fonctionne pas sur macOS, la variante analysée pourrait être en phase de test et pourrait être convertie ultérieurement pour fonctionner pleinement sur macOS.