Bitdefender a adus în aten?ia public? o nou? campanie complex? de distribu?ie a troianului Dridex, prin mesaje de tip spam, ce vizeaz? utilizatorii de servicii online oferite de dou? b?nci din România. Aproape 90% din toate sistemele infectate se reg?sesc în România, conform telemetriei realizate de Bitdefender. Descriere Evoluat din malware-ul Cridex, care la rândul s?u este succesorul cunoscutului troian Zeus, Dridex ?i-a f?cut apari?ia la finalul anului 2014, fiecare campanie de propagare concentrându-se pe o anumit? regiune a lumii. Fiecare campanie Dridex pare s? fie diferit? : programul mali?ios se propag? fie printr-un fi?ier ata?at la mesaje spam, fie prin link-uri (URL-uri). Mesajele spam par s? fie trimise de la companii române?ti ?i pretind s? con?in? documente financiare importante pentru victim?. Noua campanie folose?te pentru propagare link-uri care fac referire c?tre un cod JavaScript ce se execut? în browser ?i declan?eaz? desc?rcarea unui downloader generic sau fi?iere Word ?i Excel ce includ cod de tip macro. Prin deschiderea fi?ierului ?i activarea func?ionalit??ilor macro (dezactivate automat de programul Word pentru a evita riscurile de securitate) se lanseaz? automat procesul de desc?rcare a virusului. Dridex este un fi?ier DLL ce se injecteaz? în procesul explorer.exe, de unde va monitoriza activitatea bancara si de navigare a victimei, indiferent de browserul folosit: Firefox, Google Chrome sau Internet Explorer. Mai mult decât atât, malware-ul creeaz? o regul? de firewall nou? pentru a comunica cu serverele de comand?-control (C2) ale atacatorilor. Aceast? regul? poate semnala victimelor o posibil? infec?ie. Pentru a captura datele de autentificare, malware-ul folose?te diferite module. Pentru banca care folose?te tastatura virtual? la introducerea parolei, troianul face capturi de ecran la fiecare click de mouse. Pentru cealalt? banc?, troianul folose?te un modul care injecteaz? cod în pagina de autentificare. Dridex este greu de identificat pe un calculator deja infectat. Pentru a r?mâne nedepistat, acesta se adaug? la programele ce pornesc odat? cu sistemul de operare, îns? acest lucru se întâmpl? doar înaintea închiderii calculatorului. De?i aceast? caracteristic? face infec?ia aproape invizibil?, ea poate fi util? victimei deoarece în cazul unei pene de curent sau închiderii bru?te a calculatorului, troianul nu se va mai putea executa, deoarece nu se afla în lista de aplica?ii care trebuie repornite. Cu toate acestea, este înc? posibil? observarea infec?iei prin c?utarea altor chei de registru, precum cea în care se stocheaz? datele de configurare ale malware-ului (în care este stocat un volum mare de date): HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerCLSID{some clsid}ShellFolder<value name> Recomand?ri pentru utilizatori CERT-RO recomand? tuturor utilizatorilor de servicii bancare online s? manifeste aten?ie la modul de utilizare a acestora ?i s? întreprind? urm?toarele m?suri de preven?ie: Utiliza?i solu?ii antivirus/antimalware eficiente ?i actualizate; Nu deschide?i mesajele email venite de la surse nesigure (expeditor necunoscut, subiect ?i con?inut suspect) ?i a link-urilor sau ata?amentelor con?inute de acestea; Dac? suspecta?i o posibil? infec?ie, pute?i încerca o închidere for?at? a sistemului pentru a opri derularea troianului la repornirea PC-ului. În cazul în care constata?i c? autentificarea la serviciile bancare online nu a fost reu?it?, inclusiv în cazul mecanismelor de autentificare OTP (one time password), nu încerca?i de mai multe ori. În acest caz v? recomand?m s? contacta?i banca ce ofer? serviciul respectiv. Recomand?ri pentru institu?iile financiar-bancare În cazul b?ncilor, CERT-RO recomand? urm?toarele: Securizarea sistemelor ?i serviciilor bancare online prin implementarea de mecanisme de autentificare în doi pa?i (two-factor authentication); Protejarea utilizatorilor de servicii bancare online prin utilizarea de software specializat anti-fraud?; Derularea de campanii de educare ?i informare a utilizatorilor cu privire la modul de utilizare a serviciilor online. REFERIN?E [1]. | Bitdefender Labs [2]. | Nine O`Clock [3]. Bitdefender descrie Dridex, un "troian" configurat sa atace doua banci romanesti - IT - HotNews.ro. SURSA: https://cert.ro/articol.php?idarticol=962