[CERT-RO#20150819] Dridex - un alt troian ce vizează clienții băncilor din România

[eScap3]

Bitdefender a adus în aten?ia public? o nou? campanie complex? de distribu?ie a troianului Dridex, prin mesaje de tip spam, ce vizeaz? utilizatorii de servicii online oferite de dou? b?nci din România. Aproape 90% din toate sistemele infectate se reg?sesc în România, conform telemetriei realizate de Bitdefender.

Descriere

Evoluat din malware-ul Cridex, care la rândul s?u este succesorul cunoscutului troian Zeus, Dridex ?i-a f?cut apari?ia la finalul anului 2014, fiecare campanie de propagare concentrându-se pe o anumit? regiune a lumii.

Fiecare campanie Dridex pare s? fie diferit? : programul mali?ios se propag? fie printr-un fi?ier ata?at la mesaje spam, fie prin link-uri (URL-uri). Mesajele spam par s? fie trimise de la companii române?ti ?i pretind s? con?in? documente financiare importante pentru victim?. Noua campanie folose?te pentru propagare link-uri care fac referire c?tre un cod JavaScript ce se execut? în browser ?i declan?eaz? desc?rcarea unui downloader generic sau fi?iere Word ?i Excel ce includ cod de tip macro. Prin deschiderea fi?ierului ?i activarea func?ionalit??ilor macro (dezactivate automat de programul Word pentru a evita riscurile de securitate) se lanseaz? automat procesul de desc?rcare a virusului.

Dridex este un fi?ier DLL ce se injecteaz? în procesul explorer.exe, de unde va monitoriza activitatea bancara si de navigare a victimei, indiferent de browserul folosit: Firefox, Google Chrome sau Internet Explorer. Mai mult decât atât, malware-ul creeaz? o regul? de firewall nou? pentru a comunica cu serverele de comand?-control (C2) ale atacatorilor. Aceast? regul? poate semnala victimelor o posibil? infec?ie.

Pentru a captura datele de autentificare, malware-ul folose?te diferite module. Pentru banca care folose?te tastatura virtual? la introducerea parolei, troianul face capturi de ecran la fiecare click de mouse. Pentru cealalt? banc?, troianul folose?te un modul care injecteaz? cod în pagina de autentificare.

Dridex este greu de identificat pe un calculator deja infectat. Pentru a r?mâne nedepistat, acesta se adaug? la programele ce pornesc odat? cu sistemul de operare, îns? acest lucru se întâmpl? doar înaintea închiderii calculatorului. De?i aceast? caracteristic? face infec?ia aproape invizibil?, ea poate fi util? victimei deoarece în cazul unei pene de curent sau închiderii bru?te a calculatorului, troianul nu se va mai putea executa, deoarece nu se afla în lista de aplica?ii care trebuie repornite. Cu toate acestea, este înc? posibil? observarea infec?iei prin c?utarea altor chei de registru, precum cea în care se stocheaz? datele de configurare ale malware-ului (în care este stocat un volum mare de date):

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerCLSID{some clsid}ShellFolder<value name>

Recomand?ri pentru utilizatori

CERT-RO recomand? tuturor utilizatorilor de servicii bancare online s? manifeste aten?ie la modul de utilizare a acestora ?i s? întreprind? urm?toarele m?suri de preven?ie:

Utiliza?i solu?ii antivirus/antimalware eficiente ?i actualizate;

Nu deschide?i mesajele email venite de la surse nesigure (expeditor necunoscut, subiect ?i con?inut suspect) ?i a link-urilor sau ata?amentelor con?inute de acestea;

Dac? suspecta?i o posibil? infec?ie, pute?i încerca o închidere for?at? a sistemului pentru a opri derularea troianului la repornirea PC-ului.

În cazul în care constata?i c? autentificarea la serviciile bancare online nu a fost reu?it?, inclusiv în cazul mecanismelor de autentificare OTP (one time password), nu încerca?i de mai multe ori. În acest caz v? recomand?m s? contacta?i banca ce ofer? serviciul respectiv.

Recomand?ri pentru institu?iile financiar-bancare

În cazul b?ncilor, CERT-RO recomand? urm?toarele:

Securizarea sistemelor ?i serviciilor bancare online prin implementarea de mecanisme de autentificare în doi pa?i (two-factor authentication);

Protejarea utilizatorilor de servicii bancare online prin utilizarea de software specializat anti-fraud?;

Derularea de campanii de educare ?i informare a utilizatorilor cu privire la modul de utilizare a serviciilor online.

REFERIN?E

[1]. | Bitdefender Labs

[2]. | Nine O`Clock

[3]. Bitdefender descrie Dridex, un "troian" configurat sa atace doua banci romanesti - IT - HotNews.ro.

SURSA: https://cert.ro/articol.php?idarticol=962

[Che]

Afecteaza si Windows 7 sau Windows 8, 10 sau numai XP si Vista ca stiu ca de la windows 7 in sus explorer.exe nu putea fi hackuit in nici un fel, nu puteai sa-i bagi rootkit, nimic ?

[Che]

Nu bre! Bitdefender ii "sfatuieste" pe bancheri sa le cumpere licentele si asistenta. Cam atat.

Asta stiu, ca tot ei au facut si virusul doar.

[Pavlov]

Batea apropo la o teorie a conspiratiei ce se credea adevarata prin '99. Desi nu este exclus, si inclin sa o cred si eu, la urma au venit baietii cu lucruri reale. Asta prin 2004-2005 sa zicem. Suntem in 2016 aproape si firmele anti-*ware inca sunt luate prin surprindere.

Insa nu va speriati, se pare ca mai toate au capatat o alta abilitate, si anume scrierea de articole generice condimentate cu o mana de termeni high-tech care sa bage omul de rand in ceata si sa mearga sa dea 100-200 ron sau cat o fi o licenta pt AV.

O firma chiar a fost data in judecata recent pt articole scrise aiurea, bitdefender sau kasperski parca?

Anyway, in afara de o mana de programatori adevarati in spatele acestor firme, cei care se ocupa de media sunt mai prosti ca pacatul, si nu reusesc decat sa bage lumea in sperieti si in cheltuieli.

Personal, consider ca mai bine s-ar implementa test IQ la achizitionarea unui PC decat imprastierea unei idei de a da bani pe nimic. Sau hai sa nu fiu rau. Cei cateva sute de roni investiti intr-un training de "cum sa nu te virusezi ca prostul".

L.E. Stai ca acum am realizat. Idiotii chiar au scris ca troianul in sine vizeaza Romania.

In speranta ca vreun angajat de la bit citeste pe aici, ma intreb daca baietii au cel putin vreo intelegere slaba asupra subiectului, sau aleg stiri aiurea in timp ce fumeaza ceva iarba vanduta de Brusli din bucuresti ?

Faptul ca un idiot si-a desfasurat campania asupra unor utilizatori din Romania, nu inseamna ca acest malware e adresat Romaniei, idiotilor

Edited October 4, 2015 by Pavlov

[sicilianul]

Din ce stiu, Bitdefender, are "clocitoare" - o camera, un departament, unde astfel de virusi iau viata

Cum ar fi chiar ei sa creeze asa ceva, vand licente si catre roman si catre banci si mai au chiftele din ce culeg pe drum.

[devilox]

Batea apropo la o teorie a conspiratiei ce se credea adevarata prin '99. Desi nu este exclus, si inclin sa o cred si eu, la urma au venit baietii cu lucruri reale. Asta prin 2004-2005 sa zicem. Suntem in 2016 aproape si firmele anti-*ware inca sunt luate prin surprindere.

Insa nu va speriati, se pare ca mai toate au capatat o alta abilitate, si anume scrierea de articole generice condimentate cu o mana de termeni high-tech care sa bage omul de rand in ceata si sa mearga sa dea 100-200 ron sau cat o fi o licenta pt AV.

O firma chiar a fost data in judecata recent pt articole scrise aiurea, bitdefender sau kasperski parca?

Anyway, in afara de o mana de programatori adevarati in spatele acestor firme, cei care se ocupa de media sunt mai prosti ca pacatul, si nu reusesc decat sa bage lumea in sperieti si in cheltuieli.

Personal, consider ca mai bine s-ar implementa test IQ la achizitionarea unui PC decat imprastierea unei idei de a da bani pe nimic. Sau hai sa nu fiu rau. Cei cateva sute de roni investiti intr-un training de "cum sa nu te virusezi ca prostul".

L.E. Stai ca acum am realizat. Idiotii chiar au scris ca troianul in sine vizeaza Romania.

In speranta ca vreun angajat de la bit citeste pe aici, ma intreb daca baietii au cel putin vreo intelegere slaba asupra subiectului, sau aleg stiri aiurea in timp ce fumeaza ceva iarba vanduta de Brusli din bucuresti ?

Faptul ca un idiot si-a desfasurat campania asupra unor utilizatori din Romania, nu inseamna ca acest malware e adresat Romaniei, idiotilor

vezi tu, suntem o tara libera. orice om fie el de la oras sau de la tara poate merge in altex sau orice alt magazin sa isi faca o rata pentru un calculator/laptop.

cum propui tu sa pui test de iq la achizitia unui pc ?

isi mai aduce aminte cineva de ala care s-a spanzurat crezand ca are de achitat o caruta de bani pt ca s-a uitat la porn?

[exchangepaul]

Salutare,

Imi cer scuze initiatorului ca am postat pe acest topic

Sunt de ceva vreme pe acest forum am citit am invatat foarte multe si pentru asta va sunt recunoscator.

Acum lucrez la un proiect pentru un prieten si m-am lovit de o nelamurire. Exista posibilitatea ca cine, doar prin simplu fapt ca comunici cu el prin e-mail fara sa deschizi atasament sau sa rulezi programe, sa te poata infecta cu un troian si in acelasi timp sa iti fure datele?

Va multumesc anticipat pentru raspuns