informacje prasowe

Dridex - stary pies uczy się nowych sztuczek

13 grudnia 2016, 23:17 G-DATA

Znajdujesz się w sekcji Informacje prasowe. Zamieszczone tutaj materiały zostały opracowane przez firmy niezwiązane z redakcją PCLab.pl czy Ringier Axel Springer Polska sp. z o.o.. Redakcja PCLab.pl nie ponosi odpowiedzialności za treść poniższej publikacji.

W ostatnich miesiącach wiele napisano i powiedziano o trojanie Dridex. Aktywność tego malwaru rosła i spadała, pojawiały się też informacje o współpracy jego twórców z autorami wirusa Locky. Dridex jest doskonale znany jako trojan bankowy wykradający dane posługując się metodą Man-in-the-Browser. 

Ostatnia wersja tego wirusa, ewoluowała i wykorzystuje nową metodę opartą o Powershell. Co ważne, użytkownicy oprogramowania G DATA są chronieni przed wirusem, który funkcjonuje pod nazwą Trojan.GenericKD.3599012 / Win32.Trojan-Spy.Dridex.AW. To zasługa zastosowanej w narzędziach technologii BankGuard, wykrywającej wszelkie aktywności Trojanów bankowych i zapobiegającej infekcjom. 

 

Sprawdzony wektor infekcji

Choć cel jaki przyświeca twórcom trojana - czyli uzyskanie pieniędzy i danych bankowych użytkowników cały czas pozostaje bez zmian, cyberprzestępcy sięgają po coraz bardziej wysublimowane sposoby. Niedawno otrzymaliśmy próbkę e-maila, który na pierwszy rzut oka kojarzy się z atakiem phishingowym. Z drugiej jednak strony był on na tyle poprawnie sformułowany, że mogliśmy mieć wątpliwości co do tego czy jest fałszywy.

 

Wnikliwa analiza pozwoliła jednak ostatecznie stwierdzić, że to próbka kampanii spamerskiej wykorzystującej trojana Dridex. We wcześniejszych przypadkach malware był dostarczany jako e-mail z załącznikiem, najczęściej w formacie Word. W tej kampanii wykorzystywano hasło chroniące przed wykryciem i automatycznym przetwarzaniem próbki. Tym razem jest to zwykły plik DOC. 

 

Pobieranie i generowanie ładunku payload

Warto zwrócić uwagę na fakt, iż załączane dokumenty Word nie zawierają makropoleceń VBA. Zamiast tego posiadają złośliwy skrypt VBScript osadzony w dokumencie. Ta technika, aby zachęcić odbiorcę wiadomości do otworzenie fałszywego e-maila, wykorzystuje metody inżynierii społecznej.

 

Kiedy użytkownik wpadnie w pułapkę, otwiera plik VBS, a następnie malware rozpoczyna uruchamianie skryptu PowerShell. Skrypt VBS wykorzystuje polecenia PowerShell, instalując dodatkowy kod, który odpowiada za pobieranie i uruchamianie ładunku payload. Skrypty PowerShell stały się popularne wśród hakerów wraz z pojawieniem się malwaru Poweliks.

 

 

Payload trojana Dridex uruchamia program spoolsv.exe, włączając go w cały proces. Następnie łączy się z serwerem prosząc o dodatkowe dane i dalsze instrukcje. Uzyskane wskazówki pozwalają dowiedzieć się na jakich stronach bankowych należy się skoncentrować i w jaki sposób przechwytywać dane uwierzytelniające. Kolejny etap stanowi wstrzykiwanie złośliwego kodu do najpopularniejszych przeglądarek, a następnie oczekiwanie na ofiarę, która odwiedzi stronę odpowiedniego banku będącego na liście twórców Dridex.

 Warto podkreślić, że technologia G DATA BankGuard potrafi wykrywać i zapobiegać działaniu malwaru Dridex, a także innych trojanów bankowych. 

 

 

Podsumowanie

W ostatnim czasie mnóstwo  miejsca poświęca się atakom typu ransomware, tymczasem gdzieś w tle wciąż czają się  inne zagrożenia. Choć pojawiły się informacje, że członkowie grupy przestępczej Dridex zostali aresztowani, to jednak nie brakuje ich następców. 

 

Co ciekawe, w czasie kiedy aktywność wirusa Locky maleje, następuje powolny wzrost ataków realizowanych za pośrednictwem trojana Dridex z którym już zdążono się pożegnać. Okazuje się, że zbyt wcześnie. 

 

IoC list oraz Informacje dodatkowe:

 

Załączniki e-mail:

fb9b5b2dd1c29724536ee1fc24372c4f24dfc5659a191600f668c29b46bb0bb2

e164bffc3b03e137e936c7b5848764605d72570ee9fbfa55f9d5e8ef33eb562b

5f35c98eb9256dbae88a97ddffa9df21619fe130fcac5c9707fbb7925cd87291

 

Wbudowany skrypt VBS

b77a8fa6084e33a5d842dc02fd804a3edee92234affa5e244f25004e340f21e9

425231f38d5348cafee7666dff5e47d2ae5a076ae10aac95b0cfc639eb9580fe

e6f2cd2f7d93551274930bd8be1f47546d5e5e9dd183f46d986f1aed27eee3a4

 

Strony docelowe do pobierania payloadu

hotel[.]gruyereshotels[.]ch/jobs/pharmacy/list.php

swiss[.]chevaliers-gruyeres[.]ch/jobs/pharmacy/list.php

chalet[.]hoteldegruyeres[.]ch/jobs/pharmacy/list.php

 

Dridex Payload:

ecb9405883c2c865ea7cbddf5035cfe461e35b96069d6683b0744340eca239fe

 

C2 serwer (etap 1):

85[.]25[.]203[.]43:53443

1