Co je malware Dridex?
Dridex je škodlivý software (malware), který se zaměřuje na bankovní a finanční přístup a využívá makra v Microsoft Office k infikování systémů. Jakmile je počítač infikován, mohou útočníci Dridexu ukrást bankovní pověření a další osobní údaje v systému a získat tak přístup k finančním záznamům uživatele.
Dridex funguje tak, že se nejprve dostane do počítače uživatele jako škodlivý spamový e-mail s připojeným dokumentem Microsoft Word. Pokud uživatel dokument otevře, makro vložené do dokumentu skrytě spustí stažení bankovního malwaru Dridex, který mu umožní nejprve ukrást bankovní přihlašovací údaje a poté se pokusit vygenerovat podvodné finanční transakce.
Vyvinul se z Cridexu a ZeuS
Dridex je evolucí malwaru Cridex, který sám vychází z malwaru ZeuS Trojský kůň. Bankovní malware Dridex se původně šířil koncem roku 2014 prostřednictvím spamové kampaně, která generovala až 15 000 e-mailů denně. Útoky se zaměřovaly především na počítačové systémy umístěné ve Spojeném království.
Trojský kůň Cridex se šíří kopírováním na mapované a vyměnitelné disky v infikovaných počítačích. Cridex vytváří v infikovaných systémech zadní vrátka, která umožňují stahování a spouštění dalšího škodlivého softwaru a provádění operací, jako je otevírání podvodných webových stránek.
Tato poslední schopnost umožňuje Cridexu získat bankovní přihlašovací údaje uživatelů infikovaného systému, když se uživatel pokusí navštívit finanční webové stránky a přihlásit se na ně. Cridex uživatele skrytě přesměruje na podvodnou verzi finanční stránky a zaznamená přihlašovací údaje při jejich zadávání.
Dá se Dridex odhalit?
Stejně jako v případě malwaru Emotet měl i Dridex mnoho iterací. Během posledních deseti let prošel Dridex řadou rozšíření funkcí, včetně přechodu na skripty XML, hashovací algoritmy, šifrování peer-to-peer a šifrování peer-to-command-and-control. Stejně jako Emotet, každá nová verze Dridexu sleduje další krok v globálních závodech ve zbrojení, protože bezpečnostní komunita reaguje novými detekcemi a mitigacemi,“ napsali výzkumníci.
Předpokládá se, že Dridex se bude i nadále dočkávat dalších variant. „Vzhledem k nasazení a implementaci domény ssl-pertcom ve stejný den 26. června a tendenci využívat náhodně generované proměnné a adresáře URL je pravděpodobné, že aktéři stojící za touto variantou Dridexu budou i nadále měnit indikátory v průběhu současné kampaně,“ uvádí zpráva.
Světlo na konci tunelu?“
5. prosince 2019 FBI oznámila obvinění v rámci malwarového spiknutí dvou ruských státních příslušníků.
Společně s několika spolupachateli jsou Maksim V. Yakubets a Igor Turashev obviněni ze snahy infikovat desítky tisíc počítačů škodlivým kódem s názvem Bugat. Po instalaci počítačový kód, známý také jako Dridex nebo Cridex, umožňoval zločincům krást bankovní přihlašovací údaje a vyvádět peníze přímo z účtů obětí. Dlouhodobý systém zahrnoval řadu různých variant kódu a jeho pozdější verze instalovala do počítačů obětí také ransomware. Zločinci pak požadovali platbu v kryptoměně za navrácení životně důležitých dat nebo obnovení přístupu ke kritickým systémům.
Turashev a Yakubets byli v západním okrese Pensylvánie obviněni mimo jiné ze spiknutí za účelem spáchání podvodu, podvodu v oblasti bankovnictví a bankovního podvodu. Yakubets byl rovněž spojen s obviněním ze spiknutí za účelem spáchání bankovního podvodu vydaným v okrese Nebraska poté, co se vyšetřovatelům podařilo spojit ho s obviněnou přezdívkou „aqua“ z tohoto případu, který se týkal jiné varianty malwaru známé jako Zeus.
Přečtěte si celý článek zde
Jak zabránit ransomwaru
Existuje řada obranných kroků, které můžete podniknout, abyste zabránili infekci ransomwarem. Tyto kroky jsou samozřejmě obecně správnou bezpečnostní praxí, takže jejich dodržování zlepšuje vaši obranu před všemi druhy útoků:
- Záplatování – Udržujte operační systém záplatovaný a aktualizovaný, abyste měli méně zranitelností, které lze zneužít.
- Bílý seznam aplikací – Neinstalujte software ani mu nedávejte práva správce, pokud přesně nevíte, co je zač a co dělá. Ujistěte se, že vedete seznam schválených aplikací pro celou organizaci.
- Antivirová/Malwarová služba – používejte službu, která detekuje škodlivé programy, jako je ransomware, hned po jejich příchodu. Některé obsahují funkci whitelisting, která zabrání spuštění nepovolených aplikací.
- Rozšiřte svůj perimetr, používejte službu filtrování e-mailů a sociálních médií, nejlépe na bázi cloudu. Ta odhalí škodlivé přílohy, soubory a mnohé „jako Spambrella“ také skenují adresy URL na přítomnost škodlivých aktérů.
- Přijměte přístup 3:2:1. Vytvořte tři záložní kopie na dvou různých typech médií a jednu kopii bezpečně uložte mimo pracoviště na vzduchem chráněném zařízení – takovém, které není připojené k síti nebo přístupné přes internet
Vše, co potřebujete vědět o phishingu…
Email spoofing: Co to je a jak mu předcházet
Michiganská ordinace Brookside ENT zavírá dveře po útoku ransomwaru