Bitdefender a adus în atenția publică o nouă campanie complexă de distribuție a troianului Dridex, prin mesaje de tip spam, ce vizează utilizatorii de servicii online oferite de două bănci din România. Aproape 90% din toate sistemele infectate se regăsesc în România, conform telemetriei realizate de Bitdefender.
Descriere
Evoluat din malware-ul Cridex, care la rândul său este succesorul cunoscutului troian Zeus, Dridex și-a făcut apariția la finalul anului 2014, fiecare campanie de propagare concentrându-se pe o anumită regiune a lumii.
Fiecare campanie Dridex pare să fie diferită : programul malițios se propagă fie printr-un fișier atașat la mesaje spam, fie prin link-uri (URL-uri). Mesajele spam par să fie trimise de la companii românești și pretind să conțină documente financiare importante pentru victimă. Noua campanie folosește pentru propagare link-uri care fac referire către un cod JavaScript ce se execută în browser și declanșează descărcarea unui downloader generic sau fișiere Word și Excel ce includ cod de tip macro. Prin deschiderea fișierului și activarea funcționalităților macro (dezactivate automat de programul Word pentru a evita riscurile de securitate) se lansează automat procesul de descărcare a virusului.
Dridex este un fișier DLL ce se injectează în procesul explorer.exe, de unde va monitoriza activitatea bancara si de navigare a victimei, indiferent de browserul folosit: Firefox, Google Chrome sau Internet Explorer. Mai mult decât atât, malware-ul creează o regulă de firewall nouă pentru a comunica cu serverele de comandă-control (C2) ale atacatorilor. Această regulă poate semnala victimelor o posibilă infecție.
Pentru a captura datele de autentificare, malware-ul folosește diferite module. Pentru banca care folosește tastatura virtuală la introducerea parolei, troianul face capturi de ecran la fiecare click de mouse. Pentru cealaltă bancă, troianul folosește un modul care injectează cod în pagina de autentificare.
Dridex este greu de identificat pe un calculator deja infectat. Pentru a rămâne nedepistat, acesta se adaugă la programele ce pornesc odată cu sistemul de operare, însă acest lucru se întâmplă doar înaintea închiderii calculatorului. Deși această caracteristică face infecția aproape invizibilă, ea poate fi utilă victimei deoarece în cazul unei pene de curent sau închiderii bruște a calculatorului, troianul nu se va mai putea executa, deoarece nu se afla în lista de aplicații care trebuie repornite. Cu toate acestea, este încă posibilă observarea infecției prin căutarea altor chei de registru, precum cea în care se stochează datele de configurare ale malware-ului (în care este stocat un volum mare de date):
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerCLSID{some clsid}ShellFolder
Recomandări pentru utilizatori
CERT-RO recomandă tuturor utilizatorilor de servicii bancare online să manifeste atenție la modul de utilizare a acestora și să întreprindă următoarele măsuri de prevenție:
Recomandări pentru instituțiile financiar-bancare
În cazul băncilor, CERT-RO recomandă următoarele:
REFERINȚE
[2]. http://www.nineoclock.ro/dridex-a-new-trojan-horse-backdoor-targets-romanian-online-banking-users/;