Bankarski malver Dridex ponovo oživeo stare Word macro napade

Opisi virusa, 06.11.2014, 08:57 AM

Bankarski malver Dridex ponovo oživeo stare Word macro napade

Stručnjaci kompanije Trend Micro otkrili su bankarski malver koji koristi nove tehnike da bi u svoju mrežu uhvatio što više žrtava i da bi izbegao da bude otkriven. Reč je o malveru koji je nazvan Dridex i koji se smatra naslednikom poznatog bankarskog malvera Cridex.

Dridex se pojavljuje nekoliko godina pošto je Cridex imao svoj debi u svetu online pretnji. I Cridex i Dridex kradu privatne informacije, posebno one koje su u vezi online bankovnih računa.

Dva malvera se u nečemu potpuno razlikuju. Cridex je jedan od payloada povezanih sa spam napadima u kojima se koristi exploit alat Blackhole. Dridex se, međutim, oslanja na spam emailove putem kojih se šalju Microsoft Word dokumenti koji sadrže maliciozni macro kod. Taj kod preuzima Dridex i tako dolazi do infekcije sistema.

Dridex dakle stiže do potencijalnih žrtava putem spam email poruka koje navodno šalju legitimne kompanije i koje su obično u vezi finansija. Fajlovi u prilogu su često računi ili knjigovodstvena dokumenta.

Fajl u emailu je Word dokument koji sadrži maliciozni macro kod. Ako korisnik otvori dokument može videti da je on prazan. U nekim slučajevima se u Word dokumentu žrtvi daju instrukcije da uključi macro koji je isključen po difoltu. Ako žrtva to uradi, macro preuzima malver, TSPY_DRIDEX.WQJ, na računar.

Kada je zarazio računar, malver nadgleda eventualne aktivnosti koje su u vezi online bankinga. Njegov konfiguracioni fajl sadrži spisak banaka, uglavnom banaka u Evropi. Neke od njih su Bank of Scotland, Lloyds Bank, Danske Bank, Barclays, Kasikorn Bank, Santander, Triodod Bank i druge.

Tehnika korišćenja macroa u napadima nije nova. Sajber kriminalci su je počeli koristiti pre više od jedne decenije ali je onda Microsoft ojačao svoju odbranu od takvih napada. Sudeći po ovome, kriminalci su izgleda rešili da ponovo ožive ovu tehniku, računajući na korisnike koji se te tehnike napada ne sećaju.

“Prelazak na macroe može se posmatrati kao jedan od načina da se obezbedi veća šansa za uspešne napade”, kažu iz kompanije Trend Micro. "Ako je macro funkcija već uključena pre napada, napad počinje bez bilo kakvih dodatnih zahteva. Ako ne, onda napad mora koristiti jak mamac društvenog inženjeringa da bi se ubedio korisnik da uključi ovu funkciju.”

Ako je taj uslov ispunjen, malver čeka svoj trenutak i stupa u akciju kada vidi da korisnik računara posećuje sajt neke od banaka sa njegovog spiska.

“Oslanjanje na društveni inženjering može se posmatrati kao prednost macro spama. Kod spama sa exploit alatom, ako sistem nije ranjiv, mogućnost uspešnog napada se svodi na nulu, čak i ako je bilo moguće prevariti korisnika da klikne na maliciozni link. U macro spam napadu, uvek postoji verovatnoća da će korisnik biti prevaren da uključi macro funkciju.”

U ovom trenutku, prema podacima kompanije Trend Micro, najveći broj infekcija malverom Dridex je zabeležen u Australiji, Velikoj Britaniji i SAD. Spam poruke najviše dolaze iz Vijetnama, Indije, Tajvana, Koreje i Kine.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat se širi preko Google oglasa, lažnih ažuriranja pretraživača i društvenih mreža

Malver FakeBat, takođe poznat i pod imenima EugenLoader i PaykLoader, je trenutno jedan od najrasprostranjenijih malvera iz grupe tzv. „loadera... Dalje

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Malver StrelaStealer krade lozinke iz Mozilla Thunderbirda i Outlooka

Tim za istraživanje pretnji SonicWall Capture Labsa upozorava na napade u kojima se koristi malver StrelaStealer koji krade lozinke. Zanimljivo je da... Dalje

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Novi malver ''Poseidon'' inficira Mac računare preko lažnih Google oglasa

Istraživači iz Malwarebytes Laba upozorili su na novu kampanju koju je njen kreator nazvao „Posejdon“, čije su mete korisnici Mac raču... Dalje

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani sajtovi inficiraju posetioce novim Windows backdoorom BadSpace

Hakovani veb sajtovi se koriste za isporuku Windows backdoora pod nazivom BadSpace pod maskom lažnih ažuriranja pretraživača. Napadači koriste &b... Dalje

Malver Noodle RAT napada Windows i Linux sisteme

Malver Noodle RAT napada Windows i Linux sisteme

Gotovo deceniju, različite kineske hakerske grupe koristile su malver koji je pogrešno klasifikovan kao varijanta drugog malvera, priznali su struč... Dalje