O que é malware Dridex?

Posted on by admin

O que é malware Dridex?

Dridex é um software malicioso (malware) que tem como alvo o acesso bancário e financeiro, alavancando macros no Microsoft Office para infectar sistemas. Uma vez infectado um computador, os atacantes Dridex podem roubar credenciais bancárias e outras informações pessoais no sistema para obter acesso aos registros financeiros de um usuário.

Dridex opera chegando primeiro no computador de um usuário como um e-mail de spam malicioso com um documento do Microsoft Word anexado à mensagem. Se o usuário abrir o documento, uma macro embutida no documento dispara sub-repticiamente um download do malware bancário Dridex, permitindo que ele primeiro roube credenciais bancárias e depois tente gerar transações financeiras fraudulentas.

Evolving from Cridex and ZeuS

Dridex é uma evolução do malware Cridex, que por sua vez é baseado no malware do Cavalo de Tróia ZeuS. O malware bancário Dridex espalhou-se inicialmente no final de 2014 através de uma campanha de spam que gerou mais de 15.000 e-mails por dia. Os ataques concentraram-se principalmente em sistemas de computadores localizados no Reino Unido.

O Cavalo de Tróia Cridex se espalha copiando-se para unidades mapeadas e removíveis em computadores infectados. O Cridex cria um ponto de entrada de backdoor em sistemas infectados, permitindo a possibilidade de download e execução de malware adicional, bem como a realização de operações como a abertura de sites nocivos.

Esta última capacidade permite ao Cridex capturar as credenciais bancárias dos usuários em um sistema infectado, quando o usuário tenta visitar e entrar em um site financeiro da Web. O Cridex redirecionará sub-repticiamente o usuário para uma versão fraudulenta do site financeiro e registrará as credenciais de login assim que elas forem inseridas.

O Dridex é detectável?

Como tem sido o caso do malware Emotet, o Dridex também tem tido muitas iterações. Durante a última década, Dridex passou por uma série de aumentos de recursos, incluindo uma transição para scripts XML, algoritmos de hashing, criptografia peer-to-peer, e criptografia peer-to-command-and-control. Como o Emotet, cada nova versão da Dridex traça mais um passo na corrida armamentista global à medida que a comunidade de segurança responde com novas detecções e mitigações”, os pesquisadores escreveram.

Acredita-se que a Dridex continuará a ver mais variações. “Dado o desdobramento no mesmo dia e a implementação do domínio ssl-pertcom em 26 de junho e a tendência de utilizar variáveis geradas aleatoriamente e diretórios de URLs, é provável que os atores por trás dessa variante da Dridex continuarão a mudar os indicadores ao longo da campanha atual”, disse o relatório.

Como a Dridex funciona

Luz no fim do túnel?

Em 05 de dezembro de 2019 o FBI anunciou acusações de conspiração malware de dois cidadãos russos.

Entre vários co-conspiradores, Maksim V. Yakubets e Igor Turashev são acusados de um esforço que infectou dezenas de milhares de computadores com um código malicioso chamado Bugat. Uma vez instalado, o código do computador, também conhecido como Dridex ou Cridex, permitiu que os criminosos roubassem credenciais bancárias e funilassem dinheiro diretamente das contas das vítimas. O esquema de longo prazo envolveu uma série de diferentes variantes de código, e a versão posterior também instalou ransomware nos computadores das vítimas. Os criminosos então exigiam pagamento em moeda criptográfica para retornar dados vitais ou restaurar o acesso a sistemas críticos.

Turashev e Yakubets foram ambos acusados no Distrito Oeste da Pensilvânia de conspiração para cometer fraude, fraude bancária e fraude bancária, entre outras acusações. Yakubets também foi ligado a acusações de conspiração para cometer fraude bancária emitidas no Distrito de Nebraska depois que os investigadores foram capazes de conectá-lo ao moniker “aqua” acusado daquele caso, que envolvia outra variante de malware conhecida como Zeus.

Leia o artigo completo aqui

Como prevenir o resgate

Existem várias medidas defensivas que você pode tomar para prevenir a infecção pelo resgate. Estes passos são, naturalmente, boas práticas de segurança em geral, portanto, segui-los melhora suas defesas contra todos os tipos de ataques:

  • Patch – Mantenha seu sistema operacional corrigido e atualizado para garantir que você tenha menos vulnerabilidades a explorar.
  • Listagem de Aplicativos Brancos – Não instale software ou dê privilégios administrativos a menos que você saiba exatamente o que ele é e o que faz. Certifique-se de manter uma lista de aplicativos aprovada para toda a organização.
  • Anti-virus/Malware Service, use um serviço que detecte programas maliciosos como o ransomware à medida que eles chegam. Alguns incluem recursos de lista branca que impedem que aplicativos não autorizados sejam executados em primeiro lugar.
  • Amplie seu perímetro, use um serviço de filtragem de e-mail e mídias sociais de preferência baseado em nuvem. Isso irá detectar anexos maliciosos, arquivos e muitos ‘como Spambrella’ também verificam URLs em busca de atores maliciosos.
  • Adote a abordagem 3:2:1. Crie três cópias de backup, em dois tipos diferentes de mídia, e armazene uma cópia com segurança fora do site em um dispositivo com air-gap – Uma que não esteja ligada em rede ou acessível pela internet

Tudo o que você precisa saber sobre Phishing…

Email spoofing: O que é e como preveni-lo

Otorrinolaringologista de Michigan Fecha Portas após Ataque de Ransomware

Related Posts

Deixe uma resposta

O seu endereço de email não será publicado.