Dridex, powrót trojana bankowego na Stary Kontynent

Kolejny raz trojan bankowy Dridex wyciąga swoje macki w kierunki klientów instytucji finansowych, by wykraść im uwierzytelniające dane wymagane do zalogowania się do bankowości elektronicznej. Poprzednim razem szkodnik ten infekował komputery przypisane do puli adresów IP Wielkiej Brytanii, jednak tym razem powraca na Stary Kontynent rozprzestrzeniając się po Europie Środkowej.

Wektorem infekcji są przede wszystkim wiadomości e-mail ze szkodliwymi załącznikami. Oszuści próbują zmusić swoje ofiary do otworzenia niebezpiecznego archiwum i wypakowania go, a wabikiem jest socjotechniczna pułapka rzekomego zwrotu podatku za zrealizowane faktury. Wszystkie e-maile mają bardzo osobisty wydźwięk, na pierwszy rzut oka nie są to wiadomości od oszustów, ale od rzekomych znajomych, prywatnych osób lub firm. Dodatkowo, pozdrowienia i życzenia mają sugerować związek pomiędzy nadawcą a odbiorcą. Analitycy zagrożeń z G DATA SecurityLabs spodziewają się, że kampania z udziałem tego typu spamu i trojanem bankowym Dridex na tym się nie zakończy. Przestępcy wraz Nowym Rokiem mogą stosować pewne sztuczki językowe, w taki sposób, by ofiara miała pewność co do autentyczności wiadomości i samego nadawcy.

Trojan Dridex

Historia tego trojana ma swój początek w kodzie źródłowym szkodliwego oprogramowania o nazwie Cridex, który również czerpał pełnymi garściami z niesławnego konia trojańskiego ZeuS. Początkowo Dridex infekował komputery swoich potencjalnych ofiar pod koniec roku 2014. Generowanie i wysyłanie 15 tysięcy wiadomości e-mail dziennie pozwoliło cyberprzestępcom dotrzeć do setek tysięcy użytkowników, a ofiarami stawali się przede wszystkim mieszkańcy Wielkiej Brytanii, ale także Niemiec oraz Polski. Jak wynika z ostatnich badań G DATA MALWARE REPORT przeprowadzonych przez specjalistów z G DATA SecurityLabs, w pierwszym kwartale 2015 roku to właśnie klienci rodzimych banków PKO BP, mBanku, ING oraz Citibank, którzy logowali się do bankowości internetowej byli najczęściej atakowani przez różne odmiany finansowego szkodliwego oprogramowania.

Obecnie, cyberprzestępcy rozsyłają spam ze szkodliwym złącznikiem przede wszystkim w języku niemieckim docierając do mieszkańców Republiki Federalnej Niemiec i Austrii, ale specjaliści z G DATA SecurityLabs posiadają próbki spamu także w języku angielskim, co może doprowadzić do gwałtownej eskalacji incydentów z udziałem trojana Dridex.

Osoby prywatne na celowniku trojana

Dridex to wielofunkcyjny pakiet złośliwego oprogramowania o budowie modularnej, który wykorzystuje osadzone makra napisane w języku VBA (Visual Basic Application) w plikach pakietu Microsoft Office. Makra służą do zautomatyzowania niektórych wielokrotnie powielanych czynności w arkuszach kalkulacyjnych Excel lub edytorze tekstu Word, ale mogą posłużyć też do pobierania z zewnętrznego źródła szkodliwego oprogramowania i zainstalowania go w systemie.

Oczywiście, podstawowym celem trojana jest infekowanie komputerów. Dzięki funkcji keyloggera umożliwia on swoim autorom kradzież danych uwierzytelniających i pieniędzy z kont ofiar. Niestety, to jeszcze nie wszystkie możliwości tego malware. Urządzenia zainfekowane trojanem Dridex dołączą do szkodliwej sieci botnet stając się tzw. komputerem zombie kontrolowanym przez cyberprzestępców. Incydent taki jest niezwykle groźny w skutkach. Kontrolowane urządzenie może otrzymywać zdalne rozkazy z serwera Command & Control (aka C2, C&C) np. rozsyłania spamu lub dziecięcej pornografii, czy chociażby uczestniczenia w rozproszonych atakach DDoS (Distributed Denial-of-Service) lub kopania krypto waluty udostępniając swoją moc obliczeniową.

Zazwyczaj wektorem infekcji jest wiadomość spam z załączonym dokumentem Microsoft Word. Jeśli użytkownik otworzy taki plik i uruchomi osadzone makro, wyzwalany jest szkodliwy kod (payload), który spowoduje, że na komputer ofiary zostanie pobrany docelowy trojan, który umożliwi cyberprzestępcom kradzież bankowych danych uwierzytelniających, a następnie będzie próbował przesłać je do serwerów Command and Control, które są kontrolowane przez cyberprzestępców. Na całe szczęście firma Microsoft w opracowanym pakiecie Microsoft Office od wersji 2010 uniemożliwiła automatycznie uruchamianie makr, właśnie ze względów bezpieczeństwa, więc dopiero ingerencja ze strony użytkownika może doprowadzić do pobrania trojana i eskalacji infekcji.

W tytule wiadomości cyberprzestępcy powołują się na rzekomy „Formularz Podatkowy”, z kolei sama treść mówi nam, że:

„Niestety, dopiero wróciłem, więc załączam zeznanie podatkowe twojej firmy, które musi zostać dostarczone do urzędu skarbowego do jutra! Możesz liczyć na zwrot poniesionych kosztów podroży w wysokości €302,34.

Wszystkiego najlepszego

<nazwa nadawcy>”

Oprogramowanie antywirusowe G DATA wykrywa załączony dokument jako W97M.Downloader.AHU (silnik A) i Macro.Trojan-Downloader.Donoff.X (silnik B). Z kolei uruchomienie makra wyzwala szkodliwy ładunek, który pobiera docelowego trojana na dysk twardy komputera i jest on identyfikowany przez antywirusy G DATA w nomenklaturze Trojan.GenericKD.2905834 (silnik A) lub Win32.Trojan-Spy.Dridex.AI (silnik B). Technologia G DATA BankGuard, która została opracowana przez inżynierów G DATA służy do ochrony systemu operacyjnego podczas korzystania z e-bankowości i skutecznie wykrywa oraz blokuje to zagrożenie.

Inna próbka spamu jest bardzo podobna, lecz zawiera nieznacznie zmienioną treść:

„Temat: Faktura za listopad 2015

Treść: Nareszcie :) Oto rachunek za lipiec. Mam nadzieję, że w twoim studio wszystko w porządku.

Wszystkiego dobrego,

<Nazwa nadawcy> "

Znajdujący się w załączniku trojan downloader wykrywany jest przez oprogramowanie antywirusowe G DATA jako W97M.Downloader.AHU (silnik A) i Macro.Trojan-Downloader.Donoff.X (silnik B), natomiast docelowy wirus pobrany z sieci (po uruchomieniu makro) jest identyfikowany przez silniki G DATA w nomenklaturze Trojan.GenericKD.2905834 (silnik A) lub Win32.Trojan-Spy.Dridex.AI (silnik B).

Firmy na celowniku spamerów

Jak wspomniano wyżej, wiadomości dostarczane są nie tylko w języku niemieckim, ale także w angielskim, natomiast same załączone dokumenty na pierwszy rzut oka imitują zeskanowane pliki (obrazek poniżej). Atakujący w wiadomości sugerują, że załączniki zostały zeskanowane przez popularne urządzenie wielofunkcyjne firmy Sharp i koniecznie muszą być otwarte w programie Microsoft Word.

Temat: "Zeskanowane obrazy z MX-2600N"

"Odpowiedź do: <e-mail nadawcy>

Nazwa urządzenia: Nie Ustawiono

Model Urządzenia: MX-2600N

Lokalizacja: Nie Ustawiono

Format plików: DOC MMR(G4)

Rozdzielczość: 200dpi x 200dpi

Załączone pliki są zaskandowanymi obrazami w formacie DOC.

Użyj Microsoft(R)Word(R), aby zobaczyć dokument."

Antywirusy opracowane przez niemieckiego producenta, w tym G DATA INTERNET SECURITY wykrywają ten szkodliwy dokument jako W97M.Downloader.AIG (silnik A) i Macro.Trojan-Downloader.Dridex.AL (silnik B). I w tym wypadku uruchomienie makro spowoduje pobranie z sieci pliku wykonywalnego, który infekuje komputer ofiary i jest identyfikowany przez antywirusy G DATA jako Trojan.GenericKD.2852932 (silnik A).

W jaki sposób dochodzi do infekcji?

Napastnicy w załączonym dokumencie z rozszerzeniem .DOC lub .DOCX uruchamianym przez pakiet Microsoft Office osadzają polecenia makro. Gdy tylko użytkownik otworzy taki plik i zezwoli na wykonanie makro, niebezpieczny kod nawiązuje połączenie z serwerem WWW lub FTP i pobiera na komputer plik wykonywalny – w tym wypadku jest to trojan bankowy Dridex.

Andriej Ghinkul aresztowany

Pod koniec sierpnia tego roku aresztowano Mołdawianina Andriej'a Ghinkul'a, członka grupy cyberprzestępczej, która rozpowszechniała trojana Dridex. Jak donosi serwis pcworld.com, grupie tej przypisuje się wieloetapowe ataki na amerykańską firmę Penneco Oil Company z siedzibą w Pensylwanii, która w 2012 roku została ograbiona na ponad 3 miliony dolarów.

Ogólne straty finansowe wyrządzone w USA przez tego szkodnika są znacznie większe. FBI szacuje, że w wyniku cyberataków i rozsyłania wiadomości typu spam, szkody gospodarcze wyrządzone tylko przez to szkodliwe oprogramowania na terenie Stanów Zjednoczonych Ameryki Północnej szacuje się na około 10 milionów dolarów. Z kolei National Crime Agency - służby Zjednoczonego Królestwa Wielkiej Brytanii do walki z przestępczością mówią o stratach sięgających blisko 31 milionów dolarów.

Skoordynowane działania amerykańskich i europejskich służb doprowadziły do aresztowania Andriej'a Ghinkul'a , jednego z liderów grupy, która odpowiedzialna była za rozsyłanie tysięcy maili każdego dnia ze szkodliwym oprogramowaniem Dridex. O ile aresztowanie jednego z przestępców na chwilę uśpiło szkodliwą działalność botnetu, o tyle sam botnet jeszcze nie został przejęty, co wyraźnie pokazuje ostatnia fala wiadomości ze spamem.

Jak chronić swoje pieniądze i swój komputer przed szkodliwym oprogramowaniem?

Specjaliści z G DATA wychodząc naprzeciw ostatnim wydarzeniom, sugerują wszystkim użytkownikom, aby zastosowali się do kilku zasad bezpieczeństwa:

1. Aktualizuj oprogramowanie trzecie oraz system operacyjny. Wolne od potencjalnych luk aplikacje staną się odporne na ataki internetowe z użyciem szkodliwych reklam (malvertising) oraz na ataki, w których hakerzy za pomocą narzędzi Exploit Kit wykorzystują luki w niezaktualizowanym oprogramowaniu do wstrzyknięcia szkodliwego kodu.

2. Nigdy nie otwieraj załączników, które otrzymujesz od nieznanych nadawców, a w szczególności, jeśli zawierają rzekome faktury lub podobne dokumenty, które zazwyczaj stanowią element szkodliwych kampanii z udziałem spamu. 

Co więcej, przed otwarciem takiego pliku należy zadać sobie następujące pytania:

• Czy w ostatnim czasie zamawialiśmy produkt i czy spodziewamy się za niego faktury?
• Czy wiadomość napisana jest w zrozumiałym języku, bez błędów stylistycznych, i czy ma w ogóle sens? Jeżeli zamówiliśmy produkt lub usługę w sklepie internetowym danego kraju, wiadomość taka powinna być dostarczona w tym samym języku.
• Jeżeli masz pewność, że dokument nie jest przeznaczony dla Ciebie, nie otwieraj go. A jeśli nie możesz oprzeć się pokusie? To jest właśnie sposób, jak cyberprzestępcy wzbudzają u ofiary zaufanie, aby ta otworzyła szkodliwy plik i zainfekowała swój system operacyjny.
• Czy e-mail zawiera poufne dane, takie jak nazwę firmy, jej adres, numer klienta, nazwę użytkownika lub inne? Zweryfikuje je. A jeżeli nie musisz, nie publikuj podobnych informacji w internecie o własnej firmie. Pamiętaj, że wszystko co tam trafia, zostaje już na zawsze.

3. Pamiętaj, że internetowi przestępcy bardzo często wykorzystują ostatnie wydarzenia na świecie, by wzbudzić u swoich ofiar zainteresowanie. Mowa tutaj np. o kończącym się roku podatkowym, czy chociażby nadchodzącymi Mistrzostwami Europy w piłce nożnej. Uważaj na wiadomości, które pod pozorem oferty bardzo tanich biletów na mecze integracyjne lub finałowe będą zawierać jakiekolwiek załączniku lub odnośniki do stron internetowych.

4. Jeżeli masz jakiekolwiek wątpliwości, pod żadnym pozorem nie otwieraj nieznanych dokumentów i nigdy nie uruchamiaj makr.

5. Zawsze utrzymuj kompleksowe rozwiązanie zabezpieczające aktualne. Inżynierowie z G DATA dokładają wszelkich starań, aby ich oprogramowanie antywirusowego spełniało wszelkie normy bezpieczeństwa oraz skutecznie wykrywało i blokowało potencjalne niebezpieczne aplikacje. W przypadku nieznanych plików niezbędną ochroną stają się kompleksowe pakiety antywirusowe, takie jak G DATA Internet Security wyposażone w zaporę internetową, filtr antyspamowy oraz moduł do ochrony bankowości internetowej, a także proaktywne metody detekcji w połączniu z analizą w chmurze oraz moduł anty-exploit eliminujący luki bezpieczeństwa zainstalowanego oprogramowania – od edytorów tekstowych po dodatki do przeglądarki.

I na koniec jedna z ważniejszych rad. Nawet, jeżeli ulegliście pokusie i otworzyliście potencjalnie niebezpieczny dokument, korzystając (koniecznie) z innego komputera, jak najszybciej zmienicie hasła do swoich ulubionych stron internetowych oraz dokładnie przeskanujcie zainfekowany system operacyjny pod kątem aktywności szkodliwego oprogramowania.