Specjaliści bezpieczeństwa informatycznego ostrzegają przed wzmożoną w ostatnim czasie kampanią ataków za pomocą fałszywych faktur zawierających konia trojańskiego Dridex. Celem są klienci brytyjskich banków jak również portale społecznościowe. Skala tych ataków wzrosła dramatycznie w ostatnim czasie.

W zależności od określonych parametrów trojan Dridex wbudowuje siebie w procesy Eksploratora Windows (explorer.exe) lub przeglądarek Internet Explorer, Firefox i Chrome (iexplore.exe, firefox.exe, chrome.exe). Wszystkie informacje przesyłane pomiędzy serwerem i Trojanem są szyfrowane. Potrafi potajemnie monitorować naciśnięcia klawiszy i robić zrzuty ekranu w popularnych przeglądarkach, a zdobyte w ten sposób dane, jak loginy, hasła oraz numery identyfikujące klienta przesyła zdalnie na serwery przestępców.

Złośliwy makro wirus rozprzestrzenia się za pomocą załączników w wiadomościach e-mail pod postacią dokumentów Microsoft Office i Excel. Otworzenie pliku spowoduje uruchomienie złośliwego makra – o ile zostanie ręcznie uruchomione przez ofiarę. Microsoft w tej kwestii zadbał o bezpieczeństwo swoich klientów. Pakiet Office od wersji 2010 nie umożliwia automatycznego otwierania makr właśnie ze względu na wirusy VBA. Jeśli więc korzystasz ze starszej wersji Office zalecane jest wyłączyć funkcję pozwalającą na automatyczne otwieranie makr wraz z dokumentem.

Maile imitują wiadomości od renomowanych brytyjskich firm i instytucji finansowych i namawiają do otwarcia groźnego załącznika. Gdy użytkownik otwiera załącznik natychmiast instaluje się trojan Dridex, w efekcie czego przestępcy otrzymują dostęp do cennych informacji a oprócz tego złośliwe oprogramowanie aktualizuje się tak, aby uniknąć wykrycia przez programy antywirusowe.

Głównym celem trojana Dridex jest przeprowadzanie "web-iniekcji" - wstrzykiwania samodzielnej zawartości w strony www przeglądane przez klientów banków i innych organizacji finansowych czy popularnych serwisów społecznościowych. Trojan potrafi pozyskiwać poufne dane wprowadzane do formularzy www, co pozwala cyberprzestępcom na uzyskiwanie dostępu do kont bankowych ofiar i wykradanie ich pieniędzy. Analitycy bezpieczeństwa Doctor Web dowiedzieli się o ponad 80 stronach www banków i innych zasobów internetowych z których Trojan potrafi wykradać poufne dane; z pośród nich można wymienić dobrze znane organizacje finansowe, takie jak Royal Bank of Scotland, TSB, Santander, Bank of Montreal, Bank of America, HSBC, Lloyds Bank, Barclays i wiele innych.

Przykłady złośliwych maili podszywających się pod brytyjskie firmy i banki można znaleźć na stronie: http://sanesecurity.blogspot.co.uk , a na temat trojana Dridex tu: http://sanesecurity.blogspot.co.uk/2015/01/word-excel-macro-malware-dridex-bot.html

Źródło: Doctor Web, ITpro.co.uk, CERT, Arcabit