Bankarski malver Dridex ponovo oživeo stare Word macro napade

Opisi virusa, 06.11.2014, 08:57 AM

Stručnjaci kompanije Trend Micro otkrili su bankarski malver koji koristi nove tehnike da bi u svoju mrežu uhvatio što više žrtava i da bi izbegao da bude otkriven. Reč je o malveru koji je nazvan Dridex i koji se smatra naslednikom poznatog bankarskog malvera Cridex.

Dridex se pojavljuje nekoliko godina pošto je Cridex imao svoj debi u svetu online pretnji. I Cridex i Dridex kradu privatne informacije, posebno one koje su u vezi online bankovnih računa.

Dva malvera se u nečemu potpuno razlikuju. Cridex je jedan od payloada povezanih sa spam napadima u kojima se koristi exploit alat Blackhole. Dridex se, međutim, oslanja na spam emailove putem kojih se šalju Microsoft Word dokumenti koji sadrže maliciozni macro kod. Taj kod preuzima Dridex i tako dolazi do infekcije sistema.

Dridex dakle stiže do potencijalnih žrtava putem spam email poruka koje navodno šalju legitimne kompanije i koje su obično u vezi finansija. Fajlovi u prilogu su često računi ili knjigovodstvena dokumenta.

Fajl u emailu je Word dokument koji sadrži maliciozni macro kod. Ako korisnik otvori dokument može videti da je on prazan. U nekim slučajevima se u Word dokumentu žrtvi daju instrukcije da uključi macro koji je isključen po difoltu. Ako žrtva to uradi, macro preuzima malver, TSPY_DRIDEX.WQJ, na računar.

Kada je zarazio računar, malver nadgleda eventualne aktivnosti koje su u vezi online bankinga. Njegov konfiguracioni fajl sadrži spisak banaka, uglavnom banaka u Evropi. Neke od njih su Bank of Scotland, Lloyds Bank, Danske Bank, Barclays, Kasikorn Bank, Santander, Triodod Bank i druge.

Tehnika korišćenja macroa u napadima nije nova. Sajber kriminalci su je počeli koristiti pre više od jedne decenije ali je onda Microsoft ojačao svoju odbranu od takvih napada. Sudeći po ovome, kriminalci su izgleda rešili da ponovo ožive ovu tehniku, računajući na korisnike koji se te tehnike napada ne sećaju.

“Prelazak na macroe može se posmatrati kao jedan od načina da se obezbedi veća šansa za uspešne napade”, kažu iz kompanije Trend Micro. "Ako je macro funkcija već uključena pre napada, napad počinje bez bilo kakvih dodatnih zahteva. Ako ne, onda napad mora koristiti jak mamac društvenog inženjeringa da bi se ubedio korisnik da uključi ovu funkciju.”

Ako je taj uslov ispunjen, malver čeka svoj trenutak i stupa u akciju kada vidi da korisnik računara posećuje sajt neke od banaka sa njegovog spiska.

“Oslanjanje na društveni inženjering može se posmatrati kao prednost macro spama. Kod spama sa exploit alatom, ako sistem nije ranjiv, mogućnost uspešnog napada se svodi na nulu, čak i ako je bilo moguće prevariti korisnika da klikne na maliciozni link. U macro spam napadu, uvek postoji verovatnoća da će korisnik biti prevaren da uključi macro funkciju.”

U ovom trenutku, prema podacima kompanije Trend Micro, najveći broj infekcija malverom Dridex je zabeležen u Australiji, Velikoj Britaniji i SAD. Spam poruke najviše dolaze iz Vijetnama, Indije, Tajvana, Koreje i Kine.