O que é malware Dridex?
Dridex é um software malicioso (malware) que tem como alvo o acesso bancário e financeiro, alavancando macros no Microsoft Office para infectar sistemas. Uma vez infectado um computador, os atacantes Dridex podem roubar credenciais bancárias e outras informações pessoais no sistema para obter acesso aos registros financeiros de um usuário.
Dridex opera chegando primeiro no computador de um usuário como um e-mail de spam malicioso com um documento do Microsoft Word anexado à mensagem. Se o usuário abrir o documento, uma macro embutida no documento dispara sub-repticiamente um download do malware bancário Dridex, permitindo que ele primeiro roube credenciais bancárias e depois tente gerar transações financeiras fraudulentas.
Evolving from Cridex and ZeuS
Dridex é uma evolução do malware Cridex, que por sua vez é baseado no malware do Cavalo de Tróia ZeuS. O malware bancário Dridex espalhou-se inicialmente no final de 2014 através de uma campanha de spam que gerou mais de 15.000 e-mails por dia. Os ataques concentraram-se principalmente em sistemas de computadores localizados no Reino Unido.
O Cavalo de Tróia Cridex se espalha copiando-se para unidades mapeadas e removíveis em computadores infectados. O Cridex cria um ponto de entrada de backdoor em sistemas infectados, permitindo a possibilidade de download e execução de malware adicional, bem como a realização de operações como a abertura de sites nocivos.
Esta última capacidade permite ao Cridex capturar as credenciais bancárias dos usuários em um sistema infectado, quando o usuário tenta visitar e entrar em um site financeiro da Web. O Cridex redirecionará sub-repticiamente o usuário para uma versão fraudulenta do site financeiro e registrará as credenciais de login assim que elas forem inseridas.
O Dridex é detectável?
Como tem sido o caso do malware Emotet, o Dridex também tem tido muitas iterações. Durante a última década, Dridex passou por uma série de aumentos de recursos, incluindo uma transição para scripts XML, algoritmos de hashing, criptografia peer-to-peer, e criptografia peer-to-command-and-control. Como o Emotet, cada nova versão da Dridex traça mais um passo na corrida armamentista global à medida que a comunidade de segurança responde com novas detecções e mitigações”, os pesquisadores escreveram.
Acredita-se que a Dridex continuará a ver mais variações. “Dado o desdobramento no mesmo dia e a implementação do domínio ssl-pertcom em 26 de junho e a tendência de utilizar variáveis geradas aleatoriamente e diretórios de URLs, é provável que os atores por trás dessa variante da Dridex continuarão a mudar os indicadores ao longo da campanha atual”, disse o relatório.
Luz no fim do túnel?
Em 05 de dezembro de 2019 o FBI anunciou acusações de conspiração malware de dois cidadãos russos.
Entre vários co-conspiradores, Maksim V. Yakubets e Igor Turashev são acusados de um esforço que infectou dezenas de milhares de computadores com um código malicioso chamado Bugat. Uma vez instalado, o código do computador, também conhecido como Dridex ou Cridex, permitiu que os criminosos roubassem credenciais bancárias e funilassem dinheiro diretamente das contas das vítimas. O esquema de longo prazo envolveu uma série de diferentes variantes de código, e a versão posterior também instalou ransomware nos computadores das vítimas. Os criminosos então exigiam pagamento em moeda criptográfica para retornar dados vitais ou restaurar o acesso a sistemas críticos.
Turashev e Yakubets foram ambos acusados no Distrito Oeste da Pensilvânia de conspiração para cometer fraude, fraude bancária e fraude bancária, entre outras acusações. Yakubets também foi ligado a acusações de conspiração para cometer fraude bancária emitidas no Distrito de Nebraska depois que os investigadores foram capazes de conectá-lo ao moniker “aqua” acusado daquele caso, que envolvia outra variante de malware conhecida como Zeus.
Leia o artigo completo aqui
Como prevenir o resgate
Existem várias medidas defensivas que você pode tomar para prevenir a infecção pelo resgate. Estes passos são, naturalmente, boas práticas de segurança em geral, portanto, segui-los melhora suas defesas contra todos os tipos de ataques:
- Patch – Mantenha seu sistema operacional corrigido e atualizado para garantir que você tenha menos vulnerabilidades a explorar.
- Listagem de Aplicativos Brancos – Não instale software ou dê privilégios administrativos a menos que você saiba exatamente o que ele é e o que faz. Certifique-se de manter uma lista de aplicativos aprovada para toda a organização.
- Anti-virus/Malware Service, use um serviço que detecte programas maliciosos como o ransomware à medida que eles chegam. Alguns incluem recursos de lista branca que impedem que aplicativos não autorizados sejam executados em primeiro lugar.
- Amplie seu perímetro, use um serviço de filtragem de e-mail e mídias sociais de preferência baseado em nuvem. Isso irá detectar anexos maliciosos, arquivos e muitos ‘como Spambrella’ também verificam URLs em busca de atores maliciosos.
- Adote a abordagem 3:2:1. Crie três cópias de backup, em dois tipos diferentes de mídia, e armazene uma cópia com segurança fora do site em um dispositivo com air-gap – Uma que não esteja ligada em rede ou acessível pela internet
Tudo o que você precisa saber sobre Phishing…
Email spoofing: O que é e como preveni-lo
Otorrinolaringologista de Michigan Fecha Portas após Ataque de Ransomware