Új trükköt vet be a bankolók kifosztására a Dridex féreg

Az elpusztíthatatlannak tűnő Dridexet ismét továbbfejlesztették, figyelmeztetnek az IBM X-Force információbiztonsági kutatói.

A Dridex új verziója a DNS (Domain Name System) gyorsítótár-mérgezés néven ismert technológiát veti be, hogy áldozatait pénzintézetek hamisított weboldalaira irányítsa át.

Nagyon veszélyes és hatékony támadás a DNS gyorsítótár-mérgezés, amely a domainneveket IP-címekké fordító szerverek beállításait változtatja meg, így azok a legitim weboldalak domainnevét helyesen beíró felhasználókat is a támadók által létrehozott, hamis oldalakra irányítják.

dridex_fereg_screenshot_20160122134441_1_nfh.jpg
Nagyításhoz kattintson a képre.

- Miután a támadó távol tartja áldozatát a pénzintézet legitim weboldalától, könnyen ráveheti, hogy elárulja azonosítóit, amiről sem a banknak, sem az ügyfélnek nem lesz tudomása - írta blogposztjában Limor Kessem, az IBM Trusteer üzletágának kiberbiztonsági szakértője.

Úgy tűnik, a Dridex hátterében álló kiberbűnözők egy másik, szintén pénzintézeteket támadó trójaitól, a Dyre-től tanulták el a technikát, bár az a helyi gyorsítótárat használta az átirányításhoz, tette hozzá Kessem.

A Dridex működtetői eddig 13 egyesült királyságbeli bank weboldaláról készítettek klónokat a támadások kivitelezéséhez.

Miután az áldozat a hamis weboldalon találja magát, a Dridex begyűjti felhasználónevét, jelszavát és kétfaktoros azonosításhoz használt kódját, majd azokat az irányító és ellenőrző CC szerverre továbbítja ellenőrzés céljából. Ha kiderül, hogy további információkra van szükség az azonosítók használatához, akkor a Dridex új mezőkkel egészíti ki a hamisított weboldalt, hogy az áldozatok a hiányzó információkat is beírják.

- A támadók ezt követően tranzakciót kezdeményeznek az áldozat azonosítóival, akit a social engineering eszközeivel a hamis weboldalon tartanak - írta Kessem. - Ha sikeres volt az azonosítólopás, az áldozat pénzét egy erre a célra létrehozott számlára utalják.

Nagyon ellenállónak bizonyult a Dridex, amely annak ellenére aktív maradt, hogy tavaly az Egyesült Államok és az Egyesült Királyság bűnüldöző szervei kiiktatták hálózatának egy részét.

Az Egyesült Államok igazságügyi minisztériuma október 13-án bejelentette, hogy a támadásokkal kapcsolatban egy 30 éves férfi, Andrey Ghinkul kiadatását kéri Moldáviától, akit az ügyészség azzal vádol, hogy a Dridex segítségével 10 millió dollárt lopott amerikai vállalatoktól és más szervezetektől.

Biztonsági szakértők észlelték, hogy a Dridexet mellékletükben tartalmazó emailek száma abban a hónapban csökkent, de az aktivitás rövid időn belül ismét visszatért a régi kerékvágásba. Az áldozatok akkor fertőződnek meg, amikor megnyitják a mellékletként küldött, manipulált Microsoft Office dokumentumot.

Kommentek

comments powered by Disqus