Bitdefender a adus în atenția publică o nouă campanie complexă de distribuție a troianului Dridex, prin mesaje de tip spam, ce vizează  utilizatorii de servicii online oferite de două bănci din România. Aproape 90% din toate sistemele infectate se regăsesc în România, conform telemetriei realizate de Bitdefender.

Descriere

Evoluat din malware-ul Cridex, care la rândul său este succesorul cunoscutului troian Zeus, Dridex și-a făcut apariția la finalul anului 2014, fiecare campanie de propagare concentrându-se pe o anumită regiune a lumii.

Fiecare campanie Dridex pare să fie diferită : programul malițios se propagă fie printr-un fișier atașat la mesaje spam, fie prin link-uri (URL-uri). Mesajele spam par să fie trimise de la companii românești și pretind să conțină documente financiare importante pentru victimă. Noua campanie folosește pentru propagare link-uri care fac referire către un cod JavaScript ce se execută în browser și declanșează descărcarea unui downloader generic sau fișiere Word și Excel ce includ cod de tip macro. Prin deschiderea fișierului și activarea funcționalităților macro (dezactivate automat de programul Word pentru a evita riscurile de securitate) se lansează automat procesul de descărcare a virusului.

Dridex este un fișier DLL ce se injectează în procesul explorer.exe, de unde va monitoriza activitatea bancara si de navigare a victimei, indiferent de browserul folosit: Firefox, Google Chrome sau Internet Explorer. Mai mult decât atât, malware-ul creează o regulă de firewall nouă pentru a comunica cu serverele de comandă-control (C2) ale atacatorilor. Această regulă poate semnala victimelor o posibilă infecție.

Pentru a captura datele de autentificare, malware-ul folosește diferite module. Pentru banca care folosește tastatura virtuală la introducerea parolei, troianul face capturi de ecran la fiecare click de mouse. Pentru cealaltă bancă, troianul folosește un modul care injectează cod în pagina de autentificare.

Dridex este greu de identificat pe un calculator deja infectat. Pentru a rămâne nedepistat, acesta se adaugă la programele ce pornesc odată cu sistemul de operare, însă acest lucru se întâmplă doar înaintea închiderii calculatorului. Deși această caracteristică face infecția aproape invizibilă, ea poate fi utilă victimei deoarece în cazul unei pene de curent sau închiderii bruște a calculatorului, troianul nu se va mai putea executa, deoarece nu se afla în lista de aplicații care trebuie repornite. Cu toate acestea, este încă posibilă observarea infecției prin căutarea altor chei de registru, precum cea în care se stochează datele de configurare ale malware-ului (în care este stocat un volum mare de date):

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerCLSID{some clsid}ShellFolder<value name>
Recomandări pentru utilizatori

CERT-RO recomandă tuturor utilizatorilor de servicii bancare online să manifeste atenție la modul de utilizare a acestora și să întreprindă următoarele măsuri de prevenție:

• Utilizați soluții antivirus/antimalware eficiente și actualizate;
• Nu deschideți mesajele email venite de la surse nesigure (expeditor necunoscut, subiect și conținut suspect) și a link-urilor sau atașamentelor conținute de acestea;
• Dacă suspectați o posibilă infecție, puteți încerca o închidere forțată a sistemului pentru a opri derularea troianului la repornirea PC-ului.
• În cazul în care constatați că autentificarea la serviciile bancare online nu a fost reușită, inclusiv în cazul mecanismelor de autentificare OTP (one time password), nu încercați de mai multe ori. În acest caz vă recomandăm să contactați banca ce oferă serviciul respectiv.

Recomandări pentru instituțiile financiar-bancare

În cazul băncilor, CERT-RO recomandă următoarele:

• Securizarea sistemelor și serviciilor bancare online prin implementarea de mecanisme de autentificare în doi pași (two-factor authentication);
• Protejarea utilizatorilor de servicii bancare online prin utilizarea de software specializat anti-fraudă;
• Derularea de campanii de educare și informare a utilizatorilor cu privire la modul de utilizare a serviciilor online.