A A A

Stary trojan bankowy powraca

20 grudnia 2016, 16:30
Dridex - trojan bankowy, o ktorym ostatnio było głośno, nie daje o sobie zapomnieć. Własnie zyskał nowe możliwości.
Stary trojan bankowy powraca

Aktywność tego malwaru rosła i spadała, pojawiały się też informacje o współpracy jego twórców z autorami wirusa Locky. Dridex jest doskonale znany jako trojan bankowy wykradający dane posługując się metodą Man-in-the-Browser.

Ostatnia wersja tego wirusa, ewoluowała i wykorzystuje nową metodę opartą o Powershell. Co ważne, użytkownicy oprogramowania G DATA są chronieni przed wirusem, który funkcjonuje pod nazwą Trojan.GenericKD.3599012 / Win32.Trojan-Spy.Dridex.AW. To zasługa zastosowanej w narzędziach technologii BankGuard, wykrywającej wszelkie aktywności Trojanów bankowych i zapobiegającej infekcjom.

Choć cel jaki przyświeca twórcom trojana - czyli uzyskanie pieniędzy i danych bankowych użytkowników cały czas pozostaje bez zmian, cyberprzestępcy sięgają po coraz bardziej wysublimowane sposoby. Niedawno w laboratoriach G DATY otrzymaliśmy próbkę e-maila, który na pierwszy rzut oka kojarzy się z atakiem phishingowym. Z drugiej jednak strony był on na tyle poprawnie sformułowany, że mogliśmy mieć wątpliwości co do tego czy jest fałszywy.

Wnikliwa analiza pozwoliła jednak ostatecznie stwierdzić, że to próbka kampanii spamerskiej wykorzystującej trojana Dridex. We wcześniejszych przypadkach malware był dostarczany jako e-mail z załącznikiem, najczęściej w formacie Word. W tej kampanii wykorzystywano hasło chroniące przed wykryciem i automatycznym przetwarzaniem próbki. Tym razem jest to zwykły plik DOC.

Warto zwrócić uwagę na fakt, iż załączane dokumenty Word nie zawierają makropoleceń VBA. Zamiast tego posiadają złośliwy skrypt VBScript osadzony w dokumencie. Ta technika, aby zachęcić odbiorcę wiadomości do otworzenie fałszywego e-maila, wykorzystuje metody inżynierii społecznej.

Kiedy użytkownik wpadnie w pułapkę, otwiera plik VBS, a następnie malware rozpoczyna uruchamianie skryptu PowerShell. Skrypt VBS wykorzystuje polecenia PowerShell, instalując dodatkowy kod, który odpowiada za pobieranie i uruchamianie ładunku payload. Skrypty PowerShell stały się popularne wśród hakerów wraz z pojawieniem się malwaru Poweliks.

Payload trojana Dridex uruchamia program spoolsv.exe, włączając go w cały proces. Następnie łączy się z serwerem prosząc o dodatkowe dane i dalsze instrukcje. Uzyskane wskazówki pozwalają dowiedzieć się na jakich stronach bankowych należy się skoncentrować i w jaki sposób przechwytywać dane uwierzytelniające. Kolejny etap stanowi wstrzykiwanie złośliwego kodu do najpopularniejszych przeglądarek, a następnie oczekiwanie na ofiarę, która odwiedzi stronę odpowiedniego banku będącego na liście twórców Dridex.

Warto podkreślić, że technologia G DATA BankGuard potrafi wykrywać i zapobiegać działaniu malwaru Dridex, a także innych trojanów bankowych.

 


Tagi:
Ocena:
Oceń:
Komentarze (0)

Redakcja nie ponosi odpowiedzialności za treść komentarzy. Komentarze wyświetlane są od najnowszych.
Najnowsze aktualności


Nie zapomnij o haśle!
21 czerwca 2022
Choć mogą się wydawać mało nowoczesne, hasła to nadal nie tylko jeden z najpopularniejszych sposobów zabezpieczania swoich kont, ale także...


Załóż konto
Co daje konto w serwisie pcformat.pl?

Po założeniu konta otrzymujesz możliwość oceniania materiałów, uczestnictwa w życiu forum oraz komentowania artykułów i aktualności przy użyciu indywidualnego identyfikatora.

Załóż konto