Elbuktuk a banki trójai elleni harcot

Októberben a hatóságok és a biztonsági szakma is nagy sikerként könyvelte el a sok kárt okozó Dridex banki trójai megfékezését. Sajnos az öröm nem tartott sokáig, ugyanis a károkozó ismét nagy erőkkel lopkodja a felhasználók adatait.
 

A Dridex botnetet kiépítő - azonos nevű - kártékony program elsősorban adatlopásra specializálódott. A fegyvertárában sokféle módszer megtalálható volt, de ezek közül az a modulja okozta a legtöbb problémát, amely úgynevezett web injection technika segítségével képes volt manipulálni a fertőzött számítógépeken megjelenő weboldalakat. Így például különféle űrlapokat szúrt be banki weblapokba, és arra próbálta rávenni a felhasználókat, hogy azon adják meg a hitelesítő adataikat. Amennyiben ezt megtették, akkor az
értékes információk azonnal a támadók kezébe kerültek.
 
Októberben a Dridex botnetet nemzetközi összefogás keretében sikerült megbénítani. Az akcióban az amerikai és a német hatóságok mellett részt vett egyebek mellett az FBI, az EC3 (European Cybercrime Centre), a Fox-IT, a Spamhaus, a Shadowserver Foundation és a Trend Micro is. Sajnos a siker csak átmenetinek bizonyult, mivel a kártékony program ismét nagy lendülettel kezdte ostromolni a számítógépeket, illetve az azokon tárolt, kezelt adatokat. Persze mindez benne volt a pakliban, hiszen már korábban is megfigyelhető volt, hogy egyes térdre kényszerített botnetek új életre keltek. Különösen akkor fordult elő mindez, ha nem sikerült a hálózatokat gyökerestől felszámolni. Úgy tűnik, hogy a Dridex esetében is ez történt, és a botnet által alkalmazott hibrid megközelítés ismét a csalók kezére játszott.
 
A Dridex hibrid infrastruktúrájának fontos részét képezték központi szerverek, ugyanakkor P2P (peer-to-peer) technológiák is megjelentek benne. Emiatt egy olyan szinten elosztott rendszert alkotott, amit csupán a központi szerverek lekapcsolásával nem sikerült megzabolázni. Így aztán az elmúlt napokban több biztonsági cég is jelezte, hogy ismét fel kell venni a kesztyűt az adatokra éhes károkozóval.
 
A Trend Micro szerint a Dridex jelenleg világszerte terjed, leginkább az Egyesült Államokban, az Egyesült Királyságban és Franciaországban. Az ESET pedig arra figyelmeztetett, hogy a trójai egyebek mellett Spanyolországban és Szlovákiában is egyre intenzívebben támad.

Veszélyes e-mailek, veszélyes dokumentumok

A Dridex legtöbbször kéretlen elektronikus levelek mellékletében terjed, amelyekben Word vagy Excel állományok kapnak helyet. A levelek üzenete gyakran nagyon megtévesztő, és általában angol nyelvű. A csalók nem egyszer azt állítják, hogy a csatolmányok pénzügyi dokumentumokat tartalmaznak. Amikor ezeket megnyitja a felhasználó, akkor - alapértelmezett beállítások mellett - egy figyelmeztetés jelenik meg, miszerint a Wordnek vagy az Excelnek egy makrót kellene futtatnia. Ha erre engedélyt ad a felhasználó, akkor a számítógépe rögtön megfertőződhet, és egy botnet részévé válhat.
 
Látható, hogy a Dridex fertőzéséhez több ponton is szükség van felhasználói közreműködésre. Ennek ellenére - vélhetőleg éppen a megtévesztő levelek és dokumentumok miatt - egyre többen esnek a károkozó csapdájába. Ráadásul november közepe óta több mint tíz változat formájában ütötte fel a fejét, vagyis a terjesztői tisztában vannak azzal, hogy érdemes foglalkozniuk a szerzeményükkel.
 
A védekezésben nagy szerep hárul a naprakészen tartott víruskeresőkre, de a biztonságtudatos levelezés és internetezés is rendkívül fontos. A makrókat pedig csak a legvégső esetben érdemes engedélyezni, amikor már meggyőződtünk arról, hogy egy megbízható forrásból származó, ártalmatlan állománnyal van dolgunk.