Ce este programul malware Dridex?
Dridex este un software malițios (malware) care vizează accesul bancar și financiar prin utilizarea macrourilor din Microsoft Office pentru a infecta sistemele. Odată ce un computer a fost infectat, atacatorii Dridex pot fura acreditările bancare și alte informații personale din sistem pentru a avea acces la înregistrările financiare ale unui utilizator.
Dridex operează ajungând mai întâi pe computerul unui utilizator sub forma unui e-mail spam malițios cu un document Microsoft Word atașat la mesaj. Dacă utilizatorul deschide documentul, un macro încorporat în document declanșează în mod clandestin o descărcare a malware-ului bancar Dridex, permițându-i acestuia să fure mai întâi acreditările bancare și apoi să încerce să genereze tranzacții financiare frauduloase.
Evoluție din Cridex și ZeuS
Dridex este o evoluție a malware-ului Cridex, care la rândul său se bazează pe malware-ul cal troian ZeuS. Malware-ul bancar Dridex s-a răspândit inițial la sfârșitul anului 2014 prin intermediul unei campanii de spam care a generat mai mult de 15.000 de e-mailuri în fiecare zi. Atacurile s-au concentrat în principal asupra sistemelor informatice situate în Regatul Unit.
Călăul troian Cridex se răspândește prin copierea sa pe unitățile mapate și detașabile de pe computerele infectate. Cridex creează un punct de intrare de tip backdoor pe sistemele infectate, permițând posibilitatea de a descărca și rula programe malware suplimentare, precum și de a efectua operațiuni precum deschiderea de site-uri web necinstite.
Această ultimă capacitate îi permite lui Cridex să captureze datele de identificare bancară ale utilizatorilor de pe un sistem infectat atunci când utilizatorul încearcă să viziteze și să se conecteze la un site web financiar. Cridex va redirecționa pe ascuns utilizatorul către o versiune frauduloasă a site-ului financiar și va înregistra datele de autentificare pe măsură ce acestea sunt introduse.
Este Dridex detectabil?
Ca și în cazul malware-ului Emotet, Dridex a avut, de asemenea, multe iterații. În ultimul deceniu, Dridex a suferit o serie de măriri ale caracteristicilor, inclusiv o tranziție la scripturi XML, algoritmi de hashing, criptare peer-to-peer și criptare peer-to-command-and-control. La fel ca Emotet, fiecare nouă versiune a Dridex trasează un nou pas în cursa globală a înarmării, pe măsură ce comunitatea de securitate răspunde cu noi detectări și atenuări”, au scris cercetătorii.
Se crede că Dridex va continua să vadă mai multe variante. „Având în vedere desfășurarea și implementarea în aceeași zi a domeniului ssl-pertcom pe 26 iunie și tendința de a utiliza variabile și directoare URL generate la întâmplare, este probabil ca actorii din spatele acestei variante de Dridex să continue să schimbe indicatorii pe parcursul campaniei actuale”, se arată în raport.
Lumina de la capătul tunelului?
În data de 05 decembrie 2019, FBI a anunțat acuzațiile în cazul conspirației malware a doi cetățeni ruși.
Împreună cu mai mulți co-conspiratori, Maksim V. Yakubets și Igor Turashev sunt acuzați de un efort care a infectat zeci de mii de computere cu un cod malițios numit Bugat. Odată instalat, codul informatic, cunoscut și sub numele de Dridex sau Cridex, le-a permis infractorilor să fure credențiale bancare și să scoată bani direct din conturile victimelor. Schema de lungă durată a implicat mai multe variante de coduri diferite, iar o versiune ulterioară a instalat, de asemenea, ransomware pe computerele victimelor. Infractorii cereau apoi plata în criptomonede pentru a returna datele vitale sau pentru a restabili accesul la sistemele critice.
Turashev și Yakubets au fost amândoi puși sub acuzare în Districtul de Vest din Pennsylvania pentru conspirație în vederea comiterii de fraude, fraudă electronică și fraudă bancară, printre alte acuzații. Yakubets a fost, de asemenea, legat de acuzațiile de conspirație pentru fraudă bancară emise în Districtul Nebraska, după ce anchetatorii au reușit să îl conecteze la mondenul inculpat „aqua” din acel caz, care a implicat o altă variantă de malware cunoscută sub numele de Zeus.
Citește articolul complet aici
Cum să preveniți ransomware
Există o serie de măsuri defensive pe care le puteți lua pentru a preveni infectarea cu ransomware. Acești pași sunt, bineînțeles, bune practici de securitate în general, așa că respectarea lor vă îmbunătățește apărarea împotriva tuturor tipurilor de atacuri:
- Patching – Păstrați sistemul de operare peticit și actualizat pentru a vă asigura că aveți mai puține vulnerabilități pe care să le exploatați.
- Lista albă a aplicațiilor – Nu instalați software sau nu-i acordați privilegii administrative decât dacă știți exact ce este și ce face. Asigură-te că menții o listă de aplicații aprobate pentru întreaga organizație.
- Serviciu antivirus/serviciu malware, folosește un serviciu care detectează programele malițioase, cum ar fi ransomware, pe măsură ce acestea sosesc. Unele includ capabilități de whitelisting care împiedică în primul rând executarea aplicațiilor neautorizate.
- Extindeți perimetrul, utilizați un serviciu de filtrare a e-mailurilor și a rețelelor sociale, de preferință bazat pe cloud. Acesta va detecta atașamentele, fișierele malițioase și multe „precum Spambrella” scanează, de asemenea, URL-urile pentru actori malițioși.
- Adoptați abordarea 3:2:1. Creați trei copii de rezervă, pe două tipuri diferite de suporturi, și păstrați o copie în siguranță în afara site-ului, pe un dispozitiv cu grilă de aer – Unul care nu este conectat în rețea sau accesibil prin internet
Tot ce trebuie să știți despre Phishing…
Email spoofing: Ce este și cum se poate preveni
Practica Brookside ENT din Michigan își închide porțile în urma unui atac de tip Ransomware
.