Bankarski malver Dridex ponovo oživeo stare Word macro napade
Opisi virusa, 06.11.2014, 08:57 AM

Stručnjaci kompanije Trend Micro otkrili su bankarski malver koji koristi nove tehnike da bi u svoju mrežu uhvatio što više žrtava i da bi izbegao da bude otkriven. Reč je o malveru koji je nazvan Dridex i koji se smatra naslednikom poznatog bankarskog malvera Cridex.
Dridex se pojavljuje nekoliko godina pošto je Cridex imao svoj debi u svetu online pretnji. I Cridex i Dridex kradu privatne informacije, posebno one koje su u vezi online bankovnih računa.
Dva malvera se u nečemu potpuno razlikuju. Cridex je jedan od payloada povezanih sa spam napadima u kojima se koristi exploit alat Blackhole. Dridex se, međutim, oslanja na spam emailove putem kojih se šalju Microsoft Word dokumenti koji sadrže maliciozni macro kod. Taj kod preuzima Dridex i tako dolazi do infekcije sistema.
Dridex dakle stiže do potencijalnih žrtava putem spam email poruka koje navodno šalju legitimne kompanije i koje su obično u vezi finansija. Fajlovi u prilogu su često računi ili knjigovodstvena dokumenta.
Fajl u emailu je Word dokument koji sadrži maliciozni macro kod. Ako korisnik otvori dokument može videti da je on prazan. U nekim slučajevima se u Word dokumentu žrtvi daju instrukcije da uključi macro koji je isključen po difoltu. Ako žrtva to uradi, macro preuzima malver, TSPY_DRIDEX.WQJ, na računar.
Kada je zarazio računar, malver nadgleda eventualne aktivnosti koje su u vezi online bankinga. Njegov konfiguracioni fajl sadrži spisak banaka, uglavnom banaka u Evropi. Neke od njih su Bank of Scotland, Lloyds Bank, Danske Bank, Barclays, Kasikorn Bank, Santander, Triodod Bank i druge.
Tehnika korišćenja macroa u napadima nije nova. Sajber kriminalci su je počeli koristiti pre više od jedne decenije ali je onda Microsoft ojačao svoju odbranu od takvih napada. Sudeći po ovome, kriminalci su izgleda rešili da ponovo ožive ovu tehniku, računajući na korisnike koji se te tehnike napada ne sećaju.
“Prelazak na macroe može se posmatrati kao jedan od načina da se obezbedi veća šansa za uspešne napade”, kažu iz kompanije Trend Micro. "Ako je macro funkcija već uključena pre napada, napad počinje bez bilo kakvih dodatnih zahteva. Ako ne, onda napad mora koristiti jak mamac društvenog inženjeringa da bi se ubedio korisnik da uključi ovu funkciju.”
Ako je taj uslov ispunjen, malver čeka svoj trenutak i stupa u akciju kada vidi da korisnik računara posećuje sajt neke od banaka sa njegovog spiska.
“Oslanjanje na društveni inženjering može se posmatrati kao prednost macro spama. Kod spama sa exploit alatom, ako sistem nije ranjiv, mogućnost uspešnog napada se svodi na nulu, čak i ako je bilo moguće prevariti korisnika da klikne na maliciozni link. U macro spam napadu, uvek postoji verovatnoća da će korisnik biti prevaren da uključi macro funkciju.”
U ovom trenutku, prema podacima kompanije Trend Micro, najveći broj infekcija malverom Dridex je zabeležen u Australiji, Velikoj Britaniji i SAD. Spam poruke najviše dolaze iz Vijetnama, Indije, Tajvana, Koreje i Kine.

Izdvojeno
Lažna ChatGPT desktop aplikacija širi malver PipeMagic

Microsoft je upozorio da se lažna verzija ChatGPT desktop aplikacije koristi za isporuku opasnog backdoora nazvanog PipeMagic, povezanog sa napadima ... Dalje
Novi trojanac Efimer se širi preko hakovanih WordPress sajtova i imejlova

Istraživači iz kompanije Kaspersky otkrili su novog trojanca nazvanog Efimer, koji zamenjuje adrese kripto novčanika direktno u clipboardu. Jedan k... Dalje
Malver JSCEAL se širi preko oglasa na Facebooku

Istraživači sajber bezbednosti iz kompanije Check Point upozorili su na sofisticiranu kampanju distribucije lažnih aplikacija za trgovinu kriptoval... Dalje
Matanbuchus 3.0: Povratak opasnog malvera
.jpg)
Istraživači sajber bezbednosti iz Morphisec-a upozorili su na novu verziju poznatog malvera Matanbuchus. U pitanju je sofisticirani “loader&rd... Dalje
Nevidljivi lopov: Kako NFC malver SuperCard krade novac sa računa korisnika Androida

Ruski stručnjaci za sajber bezbednost upozorili su na napade u kojima se za krađu podataka koristi modifikovana verzija legitimnog NFC softvera. Oni... Dalje
Pratite nas
Nagrade