Számlák mögött lapul egy banki trójai

A Dridex trójai számlának álcázott Word dokumentumok révén kerülhet fel a számítógépekre, amelyekről banki adatokat lop.
 

Nemrégen számoltunk be arról, hogy a makróvírusok ismét elemükben vannak. A 2000-es évek előtt ezek a kártékony programok nagy számban terjedtek, és sokszor érték el a céljukat a védtelen számítógépeken. Aztán az évek során egyre inkább háttérbe szorultak, ugyanis a vírusírók más technikák felé mozdultak el. Idén azonban valami megváltozott, és újra egyre többször kezdték felütni a fejüket olyan károkozók, amelyek egyebek mellett a Word és az Excel adta lehetőségeket igyekeztek a saját javukra fordítani. A Sophos statisztikái szerint míg júniusban a makróvírusok az összes, dokumentumok útján terjedő kártékony program hat százalékát tették ki, addig ez az arány júliusban 28 százalékra emelkedett. 

"Manapság meglehetősen kevesen használnak számítógépet víruskereső nélkül, ami a kártékony programok készítőit arra kényszeríti, hogy folyamatos erőfeszítéseket tegyenek a védelem megkerülése érdekében. Az exploitok fájlstruktúrája általában elég kötött. Visual Basic kódokat viszont egyszerű írni és rugalmasak. A hasonló funkciókat gyakran többféle módon is meg lehet valósítani velük, ami a vírusírók számára lehetőséget ad arra, hogy több variánst is készítsenek a szerzeményeikből" - mondta Graham Chantry, a SophosLabs biztonsági kutatója. 

Makrókat hív segítségül a banki trójai

A makróvírusoknál megfigyelhető technikákat immár a Dridex trójai is alkalmazza, melynek célja, hogy banki károkozásokhoz szükséges adatokat szivárogtasson ki a fertőzött számítógépekről. A Cridex/Feodo/Geodo nevű kártékony programok leszármazottjának tekinthető károkozó első variánsa a nyáron jelent meg, de akkor még egy "hagyományos", exe kiterjesztésű, futtatható fájl formájában terjedt. Elsősorban elektronikus levelek mellékleteként került a postafiókokba, és ha a felhasználó elindította, akkor a számítógépe rögtön megfertőződhetett, és egy botnet részévé válhatott.

A Dridex készítői azonban az utóbbi hetekben változtattak a taktikájukon, és exe fájlok helyett már Word dokumentumok segítségével terjesztik a szerzeményük legújabb variánsait. A Palo Alto Networks jelentése szerint vírusírók a trójait leginkább olyan dokumentumok segítségével igyekeznek feljuttatni a PC-kre, amelyeket számláknak álcáznak. Ha a felhasználó megnyit egy ilyen kártékony állományt, és a Wordben engedélyezi a makrókat, akkor a trójai előtt szabaddá válik az út. A vizsgálatok arra derítettek fényt, hogy a Dridex terjesztését szolgáló makró meglehetősen komplex felépítésű. A feladata, hogy csatlakozzon egy távoli kiszolgálóhoz (ehhez több URL is rendelkezésére áll), majd letöltse a trójai állományát. Ugyanez a makró gondoskodik arról is, hogy a Dridex a háttérben feltelepüljön, és elinduljon. Amint ez megtörténik, akkor a kártevő interneten keresztül beszerez egy konfigurációs (XML) fájlt, amelyből többek között azt is megtudja, hogy honnan kell további nemkívánatos állományokat letöltenie. Eközben pedig folyamatosan kommunikál a vezérlőszerverével. Az adatforgalmát a webes kommunikációba (HTTP-forgalomba) igyekszik elrejteni, és a banki, illetve egyéb értékes adatokat ilyen módon eljuttatni a terjesztőihez.

A Palo Alto Networks felmérése szerint a Dridex elsősorban az Egyesült Államokban okoz problémákat, de egyes variánsai már felbukkantak Európában, Ázsiában és Ausztráliában is. 


Ryan Olson, a biztonsági cég egyik igazgatója szerint a Dridex elleni védekezés legfontosabb eszköze a makrók letiltása, amit alapértelmezés szerint érdemes megtenni, és csak a valóban megbízható állományok esetén engedélyezni. Emellett persze a víruskeresőkre is fontos szerep hárul.
 
  1. 3

    A Docker Desktophoz három biztonsági frissítés vált elérhetővé.

  2. 4

    Kritikus veszélyességű hibák váltak megszüntethetővé a Firefox böngészőben.

  3. 3

    A Next.js kapcsán egy biztonsági javítás jelent meg.

  4. 4

    Az Intel a grafikus drivereiben 10 biztonsági rést foltozott be.

  5. 3

    A Palo Alto a PAN-OS esetében egy biztonsági hibát tárt fel.

  6. 3

    A VMware Tools egy biztonsági frissítést kapott.

  7. 4

    A Google a Chrome-ban két hibát javított, amelyek közül az egyik kritikus, nulladik napi sebezhetőség.

  8. 4

    Az Adobe Photoshop három biztonsági hibajavítást kapott.

  9. 4

    Az Adobe Illustrator kapcsán egy biztonsági hiba javítása vált szükségessé.

  10. 4

    Az Adobe InDesignhoz három frissítés érkezett.

Partnerhírek
​Az ESET kutatói vizsgálták a RansomHub csoportot

Az ESET kutatói átfogó elemzést tettek közzé a zsarolóvírus ökoszisztémában bekövetkezett jelentős változásokról, különös figyelmet fordítva a domináns RansomHub csoportra.

Támadást hajtott végre a Kínához köthető FamousSparrow csoport

Az ESET kutatói felfedezték, hogy a FamousSparrow hackercsoport felelős egy pénzügyi szektorban működő amerikai kereskedelmi szervezet és egy mexikói kutatóintézet ellen elkövetett kibertámadásért.

hirdetés
Közösség