Connect
To Top

Dridex – stary pies uczy się nowych sztuczek

W ostatnich miesiącach wiele napisano i powiedziano o trojanie Dridex. Aktywność tego malwaru rosła i spadała, pojawiały się też informacje o współpracy jego twórców z autorami wirusa Locky. Dridex jest doskonale znany jako trojan bankowy wykradający dane posługując się metodą Man-in-the-Browser.

Ostatnia wersja tego wirusa, ewoluowała i wykorzystuje nową metodę opartą o Powershell. Co ważne, użytkownicy oprogramowania G DATA są chronieni przed wirusem, który funkcjonuje pod nazwą Trojan.GenericKD.3599012 / Win32.Trojan-Spy.Dridex.AW. To zasługa zastosowanej w narzędziach technologii BankGuard, wykrywającej wszelkie aktywności Trojanów bankowych i zapobiegającej infekcjom.

Sprawdzony wektor infekcji

Choć cel jaki przyświeca twórcom trojana – czyli uzyskanie pieniędzy i danych bankowych użytkowników cały czas pozostaje bez zmian, cyberprzestępcy sięgają po coraz bardziej wysublimowane sposoby. Niedawno otrzymaliśmy próbkę e-maila, który na pierwszy rzut oka kojarzy się z atakiem phishingowym. Z drugiej jednak strony był on na tyle poprawnie sformułowany, że mogliśmy mieć wątpliwości co do tego czy jest fałszywy.

E-mail z najnowszej kampanii Dridexa

E-mail z najnowszej kampanii Dridexa

Wnikliwa analiza pozwoliła jednak ostatecznie stwierdzić, że to próbka kampanii spamerskiej wykorzystującej trojana Dridex. We wcześniejszych przypadkach malware był dostarczany jako e-mail z załącznikiem, najczęściej w formacie Word. W tej kampanii wykorzystywano hasło chroniące przed wykryciem i automatycznym przetwarzaniem próbki. Tym razem jest to zwykły plik DOC.

Pobieranie i generowanie ładunku payload

Warto zwrócić uwagę na fakt, iż załączane dokumenty Word nie zawierają makropoleceń VBA. Zamiast tego posiadają złośliwy skrypt VBScript osadzony w dokumencie. Ta technika, aby zachęcić odbiorcę wiadomości do otworzenie fałszywego e-maila, wykorzystuje metody inżynierii społecznej.

Kiedy użytkownik wpadnie w pułapkę, otwiera plik VBS, a następnie malware rozpoczyna uruchamianie skryptu PowerShell. Skrypt VBS wykorzystuje polecenia PowerShell, instalując dodatkowy kod, który odpowiada za pobieranie i uruchamianie ładunku payload. Skrypty PowerShell stały się popularne wśród hakerów wraz z pojawieniem się malwaru Poweliks.

Wbudowany plik VBS umieszczony w pliku DOC załączonym do e-maila.

Wbudowany plik VBS umieszczony w pliku DOC załączonym do e-maila.

Payload trojana Dridex uruchamia program spoolsv.exe, włączając go w cały proces. Następnie łączy się z serwerem prosząc o dodatkowe dane i dalsze instrukcje. Uzyskane wskazówki pozwalają dowiedzieć się na jakich stronach bankowych należy się skoncentrować i w jaki sposób przechwytywać dane uwierzytelniające. Kolejny etap stanowi wstrzykiwanie złośliwego kodu do najpopularniejszych przeglądarek, a następnie oczekiwanie na ofiarę, która odwiedzi stronę odpowiedniego banku będącego na liście twórców Dridex.

Polecenia PowerShell są wykonywane w tle.

Polecenia PowerShell są wykonywane w tle.

Warto podkreślić, że technologia G DATA BankGuard potrafi wykrywać i zapobiegać działaniu malwaru Dridex, a także innych trojanów bankowych.

 

Podsumowanie

W ostatnim czasie mnóstwo  miejsca poświęca się atakom typu ransomware, tymczasem gdzieś w tle wciąż czają się  inne zagrożenia. Choć pojawiły się informacje, że członkowie grupy przestępczej Dridex zostali aresztowani, to jednak nie brakuje ich następców.

Co ciekawe, w czasie kiedy aktywność wirusa Locky maleje, następuje powolny wzrost ataków realizowanych za pośrednictwem trojana Dridex z którym już zdążono się pożegnać. Okazuje się, że zbyt wcześnie.

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

17 − 7 =

More in Informacje Prasowe

%d bloggers like this: