Przejdź do głównej zawartości

Dridex, powrót trojana bankowego na Stary Kontynent

Kolejny raz trojan bankowy Dridex wyciąga swoje macki w kierunki klientów instytucji finansowych, by wykraść im uwierzytelniające dane wymagane do zalogowania się do bankowości elektronicznej. Poprzednim razem szkodnik ten infekował komputery przypisane do puli adresów IP Wielkiej Brytanii, jednak tym razem powraca na Stary Kontynent rozprzestrzeniając się po Europie Środkowej.

Wektorem infekcji są przede wszystkim wiadomości e-mail ze szkodliwymi załącznikami. Oszuści próbują zmusić swoje ofiary do otworzenia niebezpiecznego archiwum i wypakowania go, a wabikiem jest socjotechniczna pułapka rzekomego zwrotu podatku za zrealizowane faktury. Wszystkie e-maile mają bardzo osobisty wydźwięk, na pierwszy rzut oka nie są to wiadomości od oszustów, ale od rzekomych znajomych, prywatnych osób lub firm. Dodatkowo, pozdrowienia i życzenia mają sugerować związek pomiędzy nadawcą a odbiorcą. Analitycy zagrożeń z G DATA SecurityLabs spodziewają się, że kampania z udziałem tego typu spamu i trojanem bankowym Dridex na tym się nie zakończy. Przestępcy wraz Nowym Rokiem mogą stosować pewne sztuczki językowe, w taki sposób, by ofiara miała pewność co do autentyczności wiadomości i samego nadawcy.

Trojan Dridex

Historia tego trojana ma swój początek w kodzie źródłowym szkodliwego oprogramowania o nazwie Cridex, który również czerpał pełnymi garściami z niesławnego konia trojańskiego ZeuS. Początkowo Dridex infekował komputery swoich potencjalnych ofiar pod koniec roku 2014. Generowanie i wysyłanie 15 tysięcy wiadomości e-mail dziennie pozwoliło cyberprzestępcom dotrzeć do setek tysięcy użytkowników, a ofiarami stawali się przede wszystkim mieszkańcy Wielkiej Brytanii, ale także Niemiec oraz Polski. Jak wynika z ostatnich badań G DATA MALWARE REPORT przeprowadzonych przez specjalistów z G DATA SecurityLabs, w pierwszym kwartale 2015 roku to właśnie klienci rodzimych banków PKO BP, mBanku, ING oraz Citibank, którzy logowali się do bankowości internetowej byli najczęściej atakowani przez różne odmiany finansowego szkodliwego oprogramowania.

Obecnie, cyberprzestępcy rozsyłają spam ze szkodliwym złącznikiem przede wszystkim w języku niemieckim docierając do mieszkańców Republiki Federalnej Niemiec i Austrii, ale specjaliści z G DATA SecurityLabs posiadają próbki spamu także w języku angielskim, co może doprowadzić do gwałtownej eskalacji incydentów z udziałem trojana Dridex.

Osoby prywatne na celowniku trojana

Dridex to wielofunkcyjny pakiet złośliwego oprogramowania o budowie modularnej, który wykorzystuje osadzone makra napisane w języku VBA (Visual Basic Application) w plikach pakietu Microsoft Office. Makra służą do zautomatyzowania niektórych wielokrotnie powielanych czynności w arkuszach kalkulacyjnych Excel lub edytorze tekstu Word, ale mogą posłużyć też do pobierania z zewnętrznego źródła szkodliwego oprogramowania i zainstalowania go w systemie.

Oczywiście, podstawowym celem trojana jest infekowanie komputerów. Dzięki funkcji keyloggera umożliwia on swoim autorom kradzież danych uwierzytelniających i pieniędzy z kont ofiar. Niestety, to jeszcze nie wszystkie możliwości tego malware. Urządzenia zainfekowane trojanem Dridex dołączą do szkodliwej sieci botnet stając się tzw. komputerem zombie kontrolowanym przez cyberprzestępców. Incydent taki jest niezwykle groźny w skutkach. Kontrolowane urządzenie może otrzymywać zdalne rozkazy z serwera Command & Control (aka C2, C&C) np. rozsyłania spamu lub dziecięcej pornografii, czy chociażby uczestniczenia w rozproszonych atakach DDoS (Distributed Denial-of-Service) lub kopania krypto waluty udostępniając swoją moc obliczeniową.

Zazwyczaj wektorem infekcji jest wiadomość spam z załączonym dokumentem Microsoft Word. Jeśli użytkownik otworzy taki plik i uruchomi osadzone makro, wyzwalany jest szkodliwy kod (payload), który spowoduje, że na komputer ofiary zostanie pobrany docelowy trojan, który umożliwi cyberprzestępcom kradzież bankowych danych uwierzytelniających, a następnie będzie próbował przesłać je do serwerów Command and Control, które są kontrolowane przez cyberprzestępców. Na całe szczęście firma Microsoft w opracowanym pakiecie Microsoft Office od wersji 2010 uniemożliwiła automatycznie uruchamianie makr, właśnie ze względów bezpieczeństwa, więc dopiero ingerencja ze strony użytkownika może doprowadzić do pobrania trojana i eskalacji infekcji.




W tytule wiadomości cyberprzestępcy powołują się na rzekomy „Formularz Podatkowy”, z kolei sama treść mówi nam, że:

„Niestety, dopiero wróciłem, więc załączam zeznanie podatkowe twojej firmy, które musi zostać dostarczone do urzędu skarbowego do jutra! Możesz liczyć na zwrot poniesionych kosztów podroży w wysokości €302,34.

Wszystkiego najlepszego
<nazwa nadawcy>”

Oprogramowanie antywirusowe G DATA wykrywa załączony dokument jako W97M.Downloader.AHU (silnik A) i Macro.Trojan-Downloader.Donoff.X (silnik B). Z kolei uruchomienie makra wyzwala szkodliwy ładunek, który pobiera docelowego trojana na dysk twardy komputera i jest on identyfikowany przez antywirusy G DATA w nomenklaturze Trojan.GenericKD.2905834 (silnik A) lub Win32.Trojan-Spy.Dridex.AI (silnik B). Technologia G DATA BankGuard, która została opracowana przez inżynierów G DATA służy do ochrony systemu operacyjnego podczas korzystania z e-bankowości i skutecznie wykrywa oraz blokuje to zagrożenie.


Inna próbka spamu jest bardzo podobna, lecz zawiera nieznacznie zmienioną treść:

„Temat: Faktura za listopad 2015
Treść: Nareszcie :) Oto rachunek za lipiec. Mam nadzieję, że w twoim studio wszystko w porządku.
Wszystkiego dobrego,
<Nazwa nadawcy> "

Znajdujący się w załączniku trojan downloader wykrywany jest przez oprogramowanie antywirusowe G DATA jako W97M.Downloader.AHU (silnik A) i Macro.Trojan-Downloader.Donoff.X (silnik B), natomiast docelowy wirus pobrany z sieci (po uruchomieniu makro) jest identyfikowany przez silniki G DATA w nomenklaturze Trojan.GenericKD.2905834 (silnik A) lub Win32.Trojan-Spy.Dridex.AI (silnik B).

Firmy na celowniku spamerów

Jak wspomniano wyżej, wiadomości dostarczane są nie tylko w języku niemieckim, ale także w angielskim, natomiast same załączone dokumenty na pierwszy rzut oka imitują zeskanowane pliki (obrazek poniżej). Atakujący w wiadomości sugerują, że załączniki zostały zeskanowane przez popularne urządzenie wielofunkcyjne firmy Sharp i koniecznie muszą być otwarte w programie Microsoft Word.


Temat: "Zeskanowane obrazy z MX-2600N"
"Odpowiedź do: <e-mail nadawcy>
Nazwa urządzenia: Nie Ustawiono
Model Urządzenia: MX-2600N
Lokalizacja: Nie Ustawiono
Format plików: DOC MMR(G4)
Rozdzielczość: 200dpi x 200dpi
Załączone pliki są zaskandowanymi obrazami w formacie DOC.
Użyj Microsoft(R)Word(R), aby zobaczyć dokument."

Antywirusy opracowane przez niemieckiego producenta, w tym G DATA INTERNET SECURITY wykrywają ten szkodliwy dokument jako W97M.Downloader.AIG (silnik A) i Macro.Trojan-Downloader.Dridex.AL (silnik B). I w tym wypadku uruchomienie makro spowoduje pobranie z sieci pliku wykonywalnego, który infekuje komputer ofiary i jest identyfikowany przez antywirusy G DATA jako Trojan.GenericKD.2852932 (silnik A).

W jaki sposób dochodzi do infekcji?

Napastnicy w załączonym dokumencie z rozszerzeniem .DOC lub .DOCX uruchamianym przez pakiet Microsoft Office osadzają polecenia makro. Gdy tylko użytkownik otworzy taki plik i zezwoli na wykonanie makro, niebezpieczny kod nawiązuje połączenie z serwerem WWW lub FTP i pobiera na komputer plik wykonywalny – w tym wypadku jest to trojan bankowy Dridex.

Andriej Ghinkul aresztowany

Pod koniec sierpnia tego roku aresztowano Mołdawianina Andriej'a Ghinkul'a, członka grupy cyberprzestępczej, która rozpowszechniała trojana Dridex. Jak donosi serwis pcworld.com, grupie tej przypisuje się wieloetapowe ataki na amerykańską firmę Penneco Oil Company z siedzibą w Pensylwanii, która w 2012 roku została ograbiona na ponad 3 miliony dolarów.

Ogólne straty finansowe wyrządzone w USA przez tego szkodnika są znacznie większe. FBI szacuje, że w wyniku cyberataków i rozsyłania wiadomości typu spam, szkody gospodarcze wyrządzone tylko przez to szkodliwe oprogramowania na terenie Stanów Zjednoczonych Ameryki Północnej szacuje się na około 10 milionów dolarów. Z kolei National Crime Agency - służby Zjednoczonego Królestwa Wielkiej Brytanii do walki z przestępczością mówią o stratach sięgających blisko 31 milionów dolarów.

Skoordynowane działania amerykańskich i europejskich służb doprowadziły do aresztowania Andriej'a Ghinkul'a , jednego z liderów grupy, która odpowiedzialna była za rozsyłanie tysięcy maili każdego dnia ze szkodliwym oprogramowaniem Dridex. O ile aresztowanie jednego z przestępców na chwilę uśpiło szkodliwą działalność botnetu, o tyle sam botnet jeszcze nie został przejęty, co wyraźnie pokazuje ostatnia fala wiadomości ze spamem.

Jak chronić swoje pieniądze i swój komputer przed szkodliwym oprogramowaniem?

Specjaliści z G DATA wychodząc naprzeciw ostatnim wydarzeniom, sugerują wszystkim użytkownikom, aby zastosowali się do kilku zasad bezpieczeństwa:

1. Aktualizuj oprogramowanie trzecie oraz system operacyjny. Wolne od potencjalnych luk aplikacje staną się odporne na ataki internetowe z użyciem szkodliwych reklam (malvertising) oraz na ataki, w których hakerzy za pomocą narzędzi Exploit Kit wykorzystują luki w niezaktualizowanym oprogramowaniu do wstrzyknięcia szkodliwego kodu.

2. Nigdy nie otwieraj załączników, które otrzymujesz od nieznanych nadawców, a w szczególności, jeśli zawierają rzekome faktury lub podobne dokumenty, które zazwyczaj stanowią element szkodliwych kampanii z udziałem spamu. 

Co więcej, przed otwarciem takiego pliku należy zadać sobie następujące pytania:
  • Czy w ostatnim czasie zamawialiśmy produkt i czy spodziewamy się za niego faktury?
  • Czy wiadomość napisana jest w zrozumiałym języku, bez błędów stylistycznych, i czy ma w ogóle sens? Jeżeli zamówiliśmy produkt lub usługę w sklepie internetowym danego kraju, wiadomość taka powinna być dostarczona w tym samym języku.
  • Jeżeli masz pewność, że dokument nie jest przeznaczony dla Ciebie, nie otwieraj go. A jeśli nie możesz oprzeć się pokusie? To jest właśnie sposób, jak cyberprzestępcy wzbudzają u ofiary zaufanie, aby ta otworzyła szkodliwy plik i zainfekowała swój system operacyjny.
  • Czy e-mail zawiera poufne dane, takie jak nazwę firmy, jej adres, numer klienta, nazwę użytkownika lub inne? Zweryfikuje je. A jeżeli nie musisz, nie publikuj podobnych informacji w internecie o własnej firmie. Pamiętaj, że wszystko co tam trafia, zostaje już na zawsze.

3. Pamiętaj, że internetowi przestępcy bardzo często wykorzystują ostatnie wydarzenia na świecie, by wzbudzić u swoich ofiar zainteresowanie. Mowa tutaj np. o kończącym się roku podatkowym, czy chociażby nadchodzącymi Mistrzostwami Europy w piłce nożnej. Uważaj na wiadomości, które pod pozorem oferty bardzo tanich biletów na mecze integracyjne lub finałowe będą zawierać jakiekolwiek załączniku lub odnośniki do stron internetowych.

4. Jeżeli masz jakiekolwiek wątpliwości, pod żadnym pozorem nie otwieraj nieznanych dokumentów i nigdy nie uruchamiaj makr.

5. Zawsze utrzymuj kompleksowe rozwiązanie zabezpieczające aktualne. Inżynierowie z G DATA dokładają wszelkich starań, aby ich oprogramowanie antywirusowego spełniało wszelkie normy bezpieczeństwa oraz skutecznie wykrywało i blokowało potencjalne niebezpieczne aplikacje. W przypadku nieznanych plików niezbędną ochroną stają się kompleksowe pakiety antywirusowe, takie jak G DATA Internet Security wyposażone w zaporę internetową, filtr antyspamowy oraz moduł do ochrony bankowości internetowej, a także proaktywne metody detekcji w połączniu z analizą w chmurze oraz moduł anty-exploit eliminujący luki bezpieczeństwa zainstalowanego oprogramowania – od edytorów tekstowych po dodatki do przeglądarki.

I na koniec jedna z ważniejszych rad. Nawet, jeżeli ulegliście pokusie i otworzyliście potencjalnie niebezpieczny dokument, korzystając (koniecznie) z innego komputera, jak najszybciej zmienicie hasła do swoich ulubionych stron internetowych oraz dokładnie przeskanujcie zainfekowany system operacyjny pod kątem aktywności szkodliwego oprogramowania.



Komentarze

Popularne posty z tego bloga

PUP – „programy usilnie przeszkadzające”

Internet pełny jest narzekań oraz pytań na temat potencjalnie niechcianego oprogramowania, w skrócie PUP (potenially unwanted programs). Użytkownicy skarżą się na wirusy, które zainfekowały ich przeglądarkę lub paski narzędzi, które włamały się do ich komputera.  Aplikacje z tej grupy nie są jednak przypisane do kategorii złośliwego oprogramowania w szczególności, że większości „infekcji” tego rodzaju jest dość łatwa do uniknięcia.  Ogólnie rzecz biorąc temat PUP jest wieloaspektowym problemem dla użytkowników i branży antywirusowej jednocześnie będąc dochodowym biznesem dla ich dystrybutorów.
PUP to nie malware Określenie złośliwe oprogramowanie odnosi do software’u, którego głównym celem jest wyrządzenie szkód na zainfekowanym urządzeniu lub kradzież informacji z zamiarem ich wykorzystania do działań przestępczych (kradzież tożsamości, nadużycia finansowe czy sprzedaż wykradzionych danych). Nie zawsze jednak możemy tak łatwo rozróżnić typowe złośliwe pliki od potencjalnie niechciane…

Ekspert ds. bezpieczeństwa na wakacjach: Czy hotelowe sejfy są bezpieczne?

Okres letni w mediach często nazywany ogórkowym ma swoje prawa. Jednym z nich są tematy, które normalnie nie przebiłyby się na pierwsze strony gazet czy nagłówki stron internetowych. Podobnie jest z historią, którą dziś będziemy chcieli wam przybliżyć. W normalny dzień roboczy nie jest to główne zadanie pracowników naszego SecurityLabu, jednak w okresie letnich wyjazdów postanowiliśmy sprawdzić jeden z hotelowych sejfów. I co? Z bezpieczeństwem nie ma on za dużo wspólnego.
Ekspert ds. bezpieczeństwa na wakacjach Wciąż jesteśmy na początku okresu wakacyjnego i wielu z nas długo wyczekiwany urlop ma wciąż w planach. Co powinniśmy wiedzieć wybierając się na wyjazd z wartościowymi rzeczami, na które tak ciężko pracowaliśmy przez cały rok poprzedzający nasz urlop? Jeżeli będziecie wypoczywać w hotelu możecie natknąć się w swoim pokoju na tzw. sejf hotelowy. Nasz ekspert wybrał się na zasłużoną przerwę od wyszukiwania i analizowania kolejnych wirusów i trojanów. W hotelu natknął się na popu…

Nic nie zamawiałeś? I tak możesz otrzymać maila o odbiorze paczki.

InPost i jego klienci na celowniku hakerów.
W naszych archiwalnych wpisach często mogliście natknąć się na opisy ataków lub kampanii phishingowych ukierunkowanych na użytkowników serwisu aukcyjnego Allegro. Ostatnio głośno było o nawiązaniu współpracy pomiędzy serwisem, a jednym z największych operatorów pocztowych w kraju firmą InPost. Może właśnie ta współpraca zwróciła uwagę cyberprzestępców, gdyż aktualnie jesteśmy świadkami zmasowanej kampanii phishingowej podszywającej się pod InPost.


Pracownicy G DATA SecurityLabs przechwycili i przeanalizowali fałszywe wiadomości mailowe docierające do użytkowników w całej Polsce. Za akcją prawdopodobnie stoją te same osoby, które kilka tygodni temu rozsyłały fałszywe „Powiadomienia o wciągnięciu na listę dlużników KRD”. Świadczą o tym dane dotyczące autora złośliwego pliku załączanego do wiadomości oraz wykorzystywana do uwiarygodnienia treści personalizacja samego maila, ale o tym za chwilę.


PORÓWNANIE
Adres nadawcy wiadomości o tytule „P…