Ostatnia wersja tego wirusa, ewoluowała i wykorzystuje nową metodę opartą o Powershell. Co ważne, użytkownicy oprogramowania G DATA są chronieni przed wirusem, który funkcjonuje pod nazwą Trojan.GenericKD.3599012 / Win32.Trojan-Spy.Dridex.AW. To zasługa zastosowanej w narzędziach technologii BankGuard, wykrywającej wszelkie aktywności Trojanów bankowych i zapobiegającej infekcjom.
Sprawdzony wektor infekcji
Choć cel jaki przyświeca twórcom trojana – czyli uzyskanie pieniędzy i danych bankowych użytkowników cały czas pozostaje bez zmian, cyberprzestępcy sięgają po coraz bardziej wysublimowane sposoby. Niedawno otrzymaliśmy próbkę e-maila, który na pierwszy rzut oka kojarzy się z atakiem phishingowym. Z drugiej jednak strony był on na tyle poprawnie sformułowany, że mogliśmy mieć wątpliwości co do tego czy jest fałszywy.
E-mail z najnowszej kampanii Dridexa
Wnikliwa analiza pozwoliła jednak ostatecznie stwierdzić, że to próbka kampanii spamerskiej wykorzystującej trojana Dridex. We wcześniejszych przypadkach malware był dostarczany jako e-mail z załącznikiem, najczęściej w formacie Word. W tej kampanii wykorzystywano hasło chroniące przed wykryciem i automatycznym przetwarzaniem próbki. Tym razem jest to zwykły plik DOC.
Pobieranie i generowanie ładunku payload
Warto zwrócić uwagę na fakt, iż załączane dokumenty Word nie zawierają makropoleceń VBA. Zamiast tego posiadają złośliwy skrypt VBScript osadzony w dokumencie. Ta technika, aby zachęcić odbiorcę wiadomości do otworzenie fałszywego e-maila, wykorzystuje metody inżynierii społecznej.
Kiedy użytkownik wpadnie w pułapkę, otwiera plik VBS, a następnie malware rozpoczyna uruchamianie skryptu PowerShell. Skrypt VBS wykorzystuje polecenia PowerShell, instalując dodatkowy kod, który odpowiada za pobieranie i uruchamianie ładunku payload. Skrypty PowerShell stały się popularne wśród hakerów wraz z pojawieniem się malwaru Poweliks.
Wbudowany plik VBS umieszczony w pliku DOC załączonym do e-maila.
Payload trojana Dridex uruchamia program spoolsv.exe, włączając go w cały proces. Następnie łączy się z serwerem prosząc o dodatkowe dane i dalsze instrukcje. Uzyskane wskazówki pozwalają dowiedzieć się na jakich stronach bankowych należy się skoncentrować i w jaki sposób przechwytywać dane uwierzytelniające. Kolejny etap stanowi wstrzykiwanie złośliwego kodu do najpopularniejszych przeglądarek, a następnie oczekiwanie na ofiarę, która odwiedzi stronę odpowiedniego banku będącego na liście twórców Dridex.
Polecenia PowerShell są wykonywane w tle.
Warto podkreślić, że technologia G DATA BankGuard potrafi wykrywać i zapobiegać działaniu malwaru Dridex, a także innych trojanów bankowych.
Podsumowanie
W ostatnim czasie mnóstwo miejsca poświęca się atakom typu ransomware, tymczasem gdzieś w tle wciąż czają się inne zagrożenia. Choć pojawiły się informacje, że członkowie grupy przestępczej Dridex zostali aresztowani, to jednak nie brakuje ich następców.
Co ciekawe, w czasie kiedy aktywność wirusa Locky maleje, następuje powolny wzrost ataków realizowanych za pośrednictwem trojana Dridex z którym już zdążono się pożegnać. Okazuje się, że zbyt wcześnie.
Artykuł Dridex – stary pies uczy się nowych sztuczek pochodzi z serwisu TechON.pl - włącz technologię!.