Bankarski malver Dridex ponovo oživeo stare Word macro napade
Opisi virusa, 06.11.2014, 08:57 AM

Stručnjaci kompanije Trend Micro otkrili su bankarski malver koji koristi nove tehnike da bi u svoju mrežu uhvatio što više žrtava i da bi izbegao da bude otkriven. Reč je o malveru koji je nazvan Dridex i koji se smatra naslednikom poznatog bankarskog malvera Cridex.
Dridex se pojavljuje nekoliko godina pošto je Cridex imao svoj debi u svetu online pretnji. I Cridex i Dridex kradu privatne informacije, posebno one koje su u vezi online bankovnih računa.
Dva malvera se u nečemu potpuno razlikuju. Cridex je jedan od payloada povezanih sa spam napadima u kojima se koristi exploit alat Blackhole. Dridex se, međutim, oslanja na spam emailove putem kojih se šalju Microsoft Word dokumenti koji sadrže maliciozni macro kod. Taj kod preuzima Dridex i tako dolazi do infekcije sistema.
Dridex dakle stiže do potencijalnih žrtava putem spam email poruka koje navodno šalju legitimne kompanije i koje su obično u vezi finansija. Fajlovi u prilogu su često računi ili knjigovodstvena dokumenta.
Fajl u emailu je Word dokument koji sadrži maliciozni macro kod. Ako korisnik otvori dokument može videti da je on prazan. U nekim slučajevima se u Word dokumentu žrtvi daju instrukcije da uključi macro koji je isključen po difoltu. Ako žrtva to uradi, macro preuzima malver, TSPY_DRIDEX.WQJ, na računar.
Kada je zarazio računar, malver nadgleda eventualne aktivnosti koje su u vezi online bankinga. Njegov konfiguracioni fajl sadrži spisak banaka, uglavnom banaka u Evropi. Neke od njih su Bank of Scotland, Lloyds Bank, Danske Bank, Barclays, Kasikorn Bank, Santander, Triodod Bank i druge.
Tehnika korišćenja macroa u napadima nije nova. Sajber kriminalci su je počeli koristiti pre više od jedne decenije ali je onda Microsoft ojačao svoju odbranu od takvih napada. Sudeći po ovome, kriminalci su izgleda rešili da ponovo ožive ovu tehniku, računajući na korisnike koji se te tehnike napada ne sećaju.
“Prelazak na macroe može se posmatrati kao jedan od načina da se obezbedi veća šansa za uspešne napade”, kažu iz kompanije Trend Micro. "Ako je macro funkcija već uključena pre napada, napad počinje bez bilo kakvih dodatnih zahteva. Ako ne, onda napad mora koristiti jak mamac društvenog inženjeringa da bi se ubedio korisnik da uključi ovu funkciju.”
Ako je taj uslov ispunjen, malver čeka svoj trenutak i stupa u akciju kada vidi da korisnik računara posećuje sajt neke od banaka sa njegovog spiska.
“Oslanjanje na društveni inženjering može se posmatrati kao prednost macro spama. Kod spama sa exploit alatom, ako sistem nije ranjiv, mogućnost uspešnog napada se svodi na nulu, čak i ako je bilo moguće prevariti korisnika da klikne na maliciozni link. U macro spam napadu, uvek postoji verovatnoća da će korisnik biti prevaren da uključi macro funkciju.”
U ovom trenutku, prema podacima kompanije Trend Micro, najveći broj infekcija malverom Dridex je zabeležen u Australiji, Velikoj Britaniji i SAD. Spam poruke najviše dolaze iz Vijetnama, Indije, Tajvana, Koreje i Kine.

Izdvojeno
Nova verzija malvera NodeStealer ne krade samo Facebook lozinke, već i sve druge lozinke iz različitih veb pregledača
.jpg)
Netskope Threat Labs upozorava na napade u kojima se koriste Python skripte za krađu lozinki i podataka iz veb pregledača korisnika Facebooka. Ova k... Dalje
Novi trojanac se širi preko Telegrama i Discorda

Tim za istraživanje pretnji kompanije Uptycs otkrio je početkom avgusta novi malver nazvan QwixxRAT. Trojanac za daljinski pristup (RAT) je privukao... Dalje
Novi ransomware Knight krije se u mejlovima Tripadvisora

Ransomwareu Cyclops, koji se pojavio u maju ove godine, krajem jula je promenjeno ime u Knight ransomware. Pod tim nazivom ransomware se sada distribu... Dalje
Hakerska grupa ruske obaveštajne službe koristi novi malver za špijunažu ciljeva u istočnoj Evropi

Ruska hakerska grupa BlueBravo iza koje stoji država napada diplomatske entitete širom istočne Evrope inficirajući uređaje ciljeva novim backooro... Dalje
Novi malver inficira macOS računare i krade lozinke iz veb pretraživača

Početkom meseca istraživač bezbednosti iamdeadlyz upozorio je na više lažnih blokčejn igara koje se koriste za inficiranje Windows i macOS raču... Dalje
Pratite nas
Nagrade