Mi a Dridex malware?
A Dridex egy rosszindulatú szoftver (malware), amely a Microsoft Office-ban található makrókat kihasználva banki és pénzügyi hozzáférést céloz meg a rendszerek megfertőzésére. Miután a számítógépet megfertőzték, a Dridex támadói ellophatják a rendszerben lévő banki hitelesítő adatokat és egyéb személyes adatokat, hogy hozzáférjenek a felhasználó pénzügyi nyilvántartásaihoz.
A Dridex úgy működik, hogy először egy rosszindulatú spam e-mail formájában érkezik a felhasználó számítógépére, amelyhez egy Microsoft Word dokumentumot csatolnak. Ha a felhasználó megnyitja a dokumentumot, a dokumentumba ágyazott makró alattomosan elindítja a Dridex banki kártevő letöltését, amely lehetővé teszi, hogy először ellopja a banki hitelesítő adatokat, majd megpróbáljon csalárd pénzügyi tranzakciókat létrehozni.
A Cridex és a ZeuS továbbfejlesztése
A Dridex a Cridex kártevő továbbfejlesztése, amely maga is a ZeuS trójai kártevőn alapul. A Dridex banki kártevő kezdetben 2014 végén terjedt el egy olyan spam-kampányon keresztül, amely naponta több mint 15 000 e-mailt generált. A támadások elsősorban az Egyesült Királyságban található számítógépes rendszerekre összpontosítottak.
A Cridex trójai faló úgy terjed, hogy a fertőzött számítógépek leképezett és cserélhető meghajtóira másolja magát. A Cridex egy hátsó ajtós belépési pontot hoz létre a fertőzött rendszereken, amely lehetővé teszi további rosszindulatú programok letöltését és futtatását, valamint olyan műveletek elvégzését, mint például a csaló weboldalak megnyitása.
Ez utóbbi képesség lehetővé teszi a Cridex számára, hogy a fertőzött rendszerben lévő felhasználók banki hitelesítő adatait rögzítse, amikor a felhasználó megpróbál egy pénzügyi weboldalra ellátogatni és bejelentkezni. A Cridex alattomosan átirányítja a felhasználót a pénzügyi webhely csalárd változatára, és rögzíti a bejelentkezési adatokat, amint azokat megadja.
A Dridex felismerhető?
Amint az Emotet malware esetében, a Dridexnek is számos iterációja volt. Az elmúlt évtizedben a Dridex egy sor funkcióbővítésen ment keresztül, beleértve az XML szkriptekre való áttérést, a hashing algoritmusokat, a peer-to-peer titkosítást és a peer-to-command-and-control titkosítást. Az Emotethez hasonlóan a Dridex minden egyes új verziója egy újabb lépést követ nyomon a globális fegyverkezési versenyben, mivel a biztonsági közösség új észlelésekkel és enyhítésekkel reagál” – írták a kutatók.
A Dridexnek vélhetően továbbra is több változata lesz. “Tekintettel az ssl-pertcom domain június 26-i egynapos telepítésére és bevezetésére, valamint a véletlenszerűen generált változók és URL-könyvtárak használatára való hajlamra, valószínű, hogy a Dridex ezen változata mögött álló szereplők a jelenlegi kampány során továbbra is változtatni fogják a mutatókat” – áll a jelentésben.
Fény az alagút végén?
2019. december 05-én az FBI vádat emelt két orosz állampolgár ellen rosszindulatú szoftverekkel kapcsolatos összeesküvés miatt.
Maxim V. Yakubets és Igor Turashev több társával együtt azzal az erőfeszítéssel vádolják, amelynek során számítógépek tízezreit fertőzték meg a Bugat nevű rosszindulatú kóddal. A telepítést követően a Dridex vagy Cridex néven is ismert számítógépes kód lehetővé tette a bűnözők számára, hogy ellopják a banki belépési adatokat, és közvetlenül az áldozatok számláiról pénzt szivárogtassanak ki. A hosszú ideje tartó rendszer számos különböző kódváltozatot tartalmazott, és a későbbi változatok zsarolószoftvereket is telepítettek az áldozatok számítógépeire. A bűnözők ezután kriptopénzben követeltek fizetséget a létfontosságú adatok visszaszolgáltatásáért vagy a kritikus rendszerekhez való hozzáférés helyreállításáért.
Turashev és Yakubets ellen egyaránt vádat emeltek Pennsylvania nyugati körzetében többek között csalásra irányuló összeesküvés, távirati csalás és banki csalás miatt. Yakubetset a Nebraska körzetben kiadott, banki csalás elkövetésére irányuló összeesküvés vádjával is összefüggésbe hozták, miután a nyomozóknak sikerült kapcsolatba hozniuk őt a vád alá helyezett “aqua” becenévvel abból az ügyből, amely egy másik, Zeus néven ismert kártevő-változatot érintett.
A teljes cikk itt olvasható
Hogyan előzze meg a zsarolóprogramokat
Egy sor védekező lépést tehet a zsarolóprogram-fertőzés megelőzése érdekében. Ezek a lépések természetesen általában véve is jó biztonsági gyakorlatok, így követésük javítja a védelmet mindenféle támadással szemben:
- Foltozás – Tartsa foltozva és naprakészen az operációs rendszerét, hogy kevesebb sebezhetőséget tudjon kihasználni.
- Alkalmazások fehér listája – Ne telepítsen szoftvereket, és ne adjon nekik rendszergazdai jogosultságokat, ha nem tudja pontosan, hogy mi az, és mit csinál. Győződjön meg róla, hogy az egész szervezet számára jóváhagyott alkalmazások listáját vezeti.
- Vírusirtó/kártékony programok elleni szolgáltatás – Használjon olyan szolgáltatást, amely felismeri a rosszindulatú programokat, például a zsarolóprogramokat, amint azok megérkeznek. Egyesek fehérlistázási funkciókat is tartalmaznak, amelyek megakadályozzák, hogy a nem engedélyezett alkalmazások egyáltalán fussanak.
- Bővítse a peremterét, használjon e-mail és közösségi média szűrő szolgáltatást, lehetőleg felhőalapút. Ez észleli a rosszindulatú mellékleteket, fájlokat, és sokan, mint például a Spambrella, az URL-címeket is vizsgálják a rosszindulatú szereplők után.
- Alkalmazza a 3:2:1 megközelítést. Hozzon létre három biztonsági másolatot, két különböző típusú adathordozón, és tároljon egy példányt biztonságosan, a helyszínen kívül, egy levegővédett eszközön – egy olyan eszközön, amely nincs hálózatba kötve vagy az interneten keresztül elérhető
Minden, amit az adathalászatról tudni kell…
Email hamisítás:
Michigan-i Brookside ENT rendelő bezárja kapuit a Ransomware-támadást követően
.