Bankarski malver Dridex ponovo oživeo stare Word macro napade

Opisi virusa, 06.11.2014, 08:57 AM

Bankarski malver Dridex ponovo oživeo stare Word macro napade

Stručnjaci kompanije Trend Micro otkrili su bankarski malver koji koristi nove tehnike da bi u svoju mrežu uhvatio što više žrtava i da bi izbegao da bude otkriven. Reč je o malveru koji je nazvan Dridex i koji se smatra naslednikom poznatog bankarskog malvera Cridex.

Dridex se pojavljuje nekoliko godina pošto je Cridex imao svoj debi u svetu online pretnji. I Cridex i Dridex kradu privatne informacije, posebno one koje su u vezi online bankovnih računa.

Dva malvera se u nečemu potpuno razlikuju. Cridex je jedan od payloada povezanih sa spam napadima u kojima se koristi exploit alat Blackhole. Dridex se, međutim, oslanja na spam emailove putem kojih se šalju Microsoft Word dokumenti koji sadrže maliciozni macro kod. Taj kod preuzima Dridex i tako dolazi do infekcije sistema.

Dridex dakle stiže do potencijalnih žrtava putem spam email poruka koje navodno šalju legitimne kompanije i koje su obično u vezi finansija. Fajlovi u prilogu su često računi ili knjigovodstvena dokumenta.

Fajl u emailu je Word dokument koji sadrži maliciozni macro kod. Ako korisnik otvori dokument može videti da je on prazan. U nekim slučajevima se u Word dokumentu žrtvi daju instrukcije da uključi macro koji je isključen po difoltu. Ako žrtva to uradi, macro preuzima malver, TSPY_DRIDEX.WQJ, na računar.

Kada je zarazio računar, malver nadgleda eventualne aktivnosti koje su u vezi online bankinga. Njegov konfiguracioni fajl sadrži spisak banaka, uglavnom banaka u Evropi. Neke od njih su Bank of Scotland, Lloyds Bank, Danske Bank, Barclays, Kasikorn Bank, Santander, Triodod Bank i druge.

Tehnika korišćenja macroa u napadima nije nova. Sajber kriminalci su je počeli koristiti pre više od jedne decenije ali je onda Microsoft ojačao svoju odbranu od takvih napada. Sudeći po ovome, kriminalci su izgleda rešili da ponovo ožive ovu tehniku, računajući na korisnike koji se te tehnike napada ne sećaju.

“Prelazak na macroe može se posmatrati kao jedan od načina da se obezbedi veća šansa za uspešne napade”, kažu iz kompanije Trend Micro. "Ako je macro funkcija već uključena pre napada, napad počinje bez bilo kakvih dodatnih zahteva. Ako ne, onda napad mora koristiti jak mamac društvenog inženjeringa da bi se ubedio korisnik da uključi ovu funkciju.”

Ako je taj uslov ispunjen, malver čeka svoj trenutak i stupa u akciju kada vidi da korisnik računara posećuje sajt neke od banaka sa njegovog spiska.

“Oslanjanje na društveni inženjering može se posmatrati kao prednost macro spama. Kod spama sa exploit alatom, ako sistem nije ranjiv, mogućnost uspešnog napada se svodi na nulu, čak i ako je bilo moguće prevariti korisnika da klikne na maliciozni link. U macro spam napadu, uvek postoji verovatnoća da će korisnik biti prevaren da uključi macro funkciju.”

U ovom trenutku, prema podacima kompanije Trend Micro, najveći broj infekcija malverom Dridex je zabeležen u Australiji, Velikoj Britaniji i SAD. Spam poruke najviše dolaze iz Vijetnama, Indije, Tajvana, Koreje i Kine.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver nazvan ''Korona virus'' zaključava Windows

Novi malver nazvan ''Korona virus'' zaključava Windows

Budući da su škole zatvorene zbog pandemije, neka deca se zabavljaju pravljenjem malvera. Takav je slučaj sa različitim novim verzijama MBRLocker... Dalje

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Malver TrickBot zaobilazi dvofaktornu zaštitu banaka novom Android aplikacijom TrickMo

Sajber-kriminalci koji stoje iza malvera TrickBot koriste Aandroid aplikaciju koju su napravili da bi zaobišli dvofaktornu (2FA) zaštitu koju korist... Dalje

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Novi ransomware se zove CoronaVirus, ali on nije najgore što se može desiti vašem računaru

Nova ransomware nazvan CoronaVirus širi se preko lažnog web sajta koji reklamira softver za optimizaciju sistema i druge programe WiseCleanera. Sajb... Dalje

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Android malver Cerberus sada može da krade kodove za 2FA iz Google Authenticatora i daljinski otključava uređaj

Bankarski trojanac Cerberus je nadograđen i sada može da krade kodove Google Authenticatora za dvofaktornu autentifikaciju (2FA) koja se koristi kao... Dalje

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Malver Emotet hakuje obližnje Wi-Fi mreže i inficira računare povezane na njih

Zloglasni trojanac Emotet koji stoji iza brojnih spam kampanja i napada ransomwarea, sada ima novi način napada: koristi već zaražene uređaje za ... Dalje