Kolejny raz trojan bankowy Dridex wyciąga swoje macki w
kierunki klientów instytucji finansowych, by wykraść im uwierzytelniające dane wymagane
do zalogowania się do bankowości elektronicznej. Poprzednim razem szkodnik ten
infekował komputery przypisane do puli adresów IP Wielkiej Brytanii, jednak tym
razem powraca na Stary Kontynent rozprzestrzeniając się po Europie Środkowej.
Wektorem infekcji są przede wszystkim wiadomości e-mail ze
szkodliwymi załącznikami. Oszuści próbują zmusić swoje ofiary do otworzenia
niebezpiecznego archiwum i wypakowania go, a wabikiem jest socjotechniczna
pułapka rzekomego zwrotu podatku za zrealizowane faktury. Wszystkie e-maile
mają bardzo osobisty wydźwięk, na pierwszy rzut oka nie są to wiadomości od
oszustów, ale od rzekomych znajomych, prywatnych osób lub firm. Dodatkowo,
pozdrowienia i życzenia mają sugerować związek pomiędzy nadawcą a odbiorcą.
Analitycy zagrożeń z G DATA SecurityLabs spodziewają się, że kampania z
udziałem tego typu spamu i trojanem bankowym Dridex na tym się nie zakończy.
Przestępcy wraz Nowym Rokiem mogą stosować pewne sztuczki językowe, w taki
sposób, by ofiara miała pewność co do autentyczności wiadomości i samego nadawcy.
Trojan Dridex
Historia tego trojana ma swój początek w kodzie źródłowym
szkodliwego oprogramowania o nazwie Cridex, który również czerpał pełnymi
garściami z niesławnego konia trojańskiego ZeuS. Początkowo Dridex infekował
komputery swoich potencjalnych ofiar pod koniec roku 2014. Generowanie i
wysyłanie 15 tysięcy wiadomości e-mail dziennie pozwoliło cyberprzestępcom
dotrzeć do setek tysięcy użytkowników, a ofiarami stawali się przede wszystkim
mieszkańcy Wielkiej Brytanii, ale także Niemiec oraz Polski. Jak wynika z ostatnich
badań G
DATA MALWARE REPORT przeprowadzonych przez specjalistów z G DATA
SecurityLabs, w pierwszym kwartale 2015 roku to właśnie klienci rodzimych
banków PKO BP, mBanku, ING oraz Citibank, którzy logowali się do bankowości
internetowej byli najczęściej atakowani przez różne odmiany finansowego
szkodliwego oprogramowania.
Obecnie, cyberprzestępcy rozsyłają spam ze szkodliwym
złącznikiem przede wszystkim w języku niemieckim docierając do mieszkańców
Republiki Federalnej Niemiec i Austrii, ale specjaliści z G DATA SecurityLabs
posiadają próbki spamu także w języku angielskim, co może doprowadzić do
gwałtownej eskalacji incydentów z udziałem trojana Dridex.
Osoby prywatne na
celowniku trojana
Dridex to wielofunkcyjny pakiet złośliwego oprogramowania o
budowie modularnej, który wykorzystuje osadzone makra napisane w języku VBA
(Visual Basic Application) w plikach pakietu Microsoft Office. Makra służą do
zautomatyzowania niektórych wielokrotnie powielanych czynności w arkuszach
kalkulacyjnych Excel lub edytorze tekstu Word, ale mogą posłużyć też do
pobierania z zewnętrznego źródła szkodliwego oprogramowania i zainstalowania go
w systemie.
Oczywiście, podstawowym celem trojana jest infekowanie
komputerów. Dzięki funkcji keyloggera umożliwia on swoim autorom kradzież
danych uwierzytelniających i pieniędzy z kont ofiar. Niestety, to jeszcze nie
wszystkie możliwości tego malware. Urządzenia zainfekowane trojanem Dridex dołączą
do szkodliwej sieci botnet stając się tzw. komputerem zombie kontrolowanym
przez cyberprzestępców. Incydent taki jest niezwykle groźny w skutkach. Kontrolowane
urządzenie może otrzymywać zdalne rozkazy z serwera Command & Control (aka
C2, C&C) np. rozsyłania spamu lub dziecięcej pornografii, czy chociażby uczestniczenia
w rozproszonych atakach DDoS (Distributed Denial-of-Service) lub kopania krypto
waluty udostępniając swoją moc obliczeniową.
Zazwyczaj wektorem infekcji jest wiadomość spam z załączonym
dokumentem Microsoft Word. Jeśli użytkownik otworzy taki plik i uruchomi
osadzone makro, wyzwalany jest szkodliwy kod (payload), który spowoduje, że na
komputer ofiary zostanie pobrany docelowy trojan, który umożliwi
cyberprzestępcom kradzież bankowych danych uwierzytelniających, a następnie
będzie próbował przesłać je do serwerów Command and Control, które są kontrolowane
przez cyberprzestępców. Na całe szczęście firma Microsoft w opracowanym
pakiecie Microsoft Office od wersji 2010 uniemożliwiła automatycznie
uruchamianie makr, właśnie ze względów bezpieczeństwa, więc dopiero ingerencja
ze strony użytkownika może doprowadzić do pobrania trojana i eskalacji infekcji.
W tytule wiadomości cyberprzestępcy powołują się na rzekomy
„Formularz Podatkowy”, z kolei sama treść mówi nam, że:
„Niestety, dopiero wróciłem, więc załączam zeznanie
podatkowe twojej firmy, które musi zostać dostarczone do urzędu skarbowego do jutra!
Możesz liczyć na zwrot poniesionych kosztów podroży w wysokości €302,34.
Wszystkiego najlepszego
<nazwa nadawcy>”
Oprogramowanie antywirusowe G DATA wykrywa załączony
dokument jako W97M.Downloader.AHU (silnik A) i Macro.Trojan-Downloader.Donoff.X
(silnik B). Z kolei uruchomienie makra wyzwala szkodliwy ładunek, który pobiera
docelowego trojana na dysk twardy komputera i jest on identyfikowany przez
antywirusy G DATA w nomenklaturze Trojan.GenericKD.2905834 (silnik A) lub
Win32.Trojan-Spy.Dridex.AI (silnik B). Technologia G DATA BankGuard, która
została opracowana przez inżynierów G DATA służy do ochrony systemu
operacyjnego podczas korzystania z e-bankowości i skutecznie wykrywa oraz
blokuje to zagrożenie.
Inna próbka spamu jest bardzo podobna, lecz zawiera
nieznacznie zmienioną treść:
„Temat: Faktura za listopad 2015
Treść: Nareszcie :) Oto rachunek za lipiec. Mam nadzieję, że
w twoim studio wszystko w porządku.
Wszystkiego dobrego,
<Nazwa nadawcy> "
Znajdujący się w załączniku trojan downloader wykrywany jest
przez oprogramowanie antywirusowe G DATA jako W97M.Downloader.AHU (silnik A) i
Macro.Trojan-Downloader.Donoff.X (silnik B), natomiast docelowy wirus pobrany z
sieci (po uruchomieniu makro) jest identyfikowany przez silniki G DATA w nomenklaturze
Trojan.GenericKD.2905834 (silnik A) lub Win32.Trojan-Spy.Dridex.AI (silnik B).
Firmy na celowniku
spamerów
Jak wspomniano wyżej, wiadomości dostarczane są nie tylko w
języku niemieckim, ale także w angielskim, natomiast same załączone dokumenty
na pierwszy rzut oka imitują zeskanowane pliki (obrazek poniżej). Atakujący w
wiadomości sugerują, że załączniki zostały zeskanowane przez popularne
urządzenie wielofunkcyjne firmy Sharp i koniecznie muszą być otwarte w
programie Microsoft Word.
Temat: "Zeskanowane obrazy z MX-2600N"
"Odpowiedź do: <e-mail nadawcy>
Nazwa urządzenia: Nie Ustawiono
Model Urządzenia: MX-2600N
Lokalizacja: Nie Ustawiono
Format plików: DOC MMR(G4)
Rozdzielczość: 200dpi x 200dpi
Załączone pliki są zaskandowanymi obrazami w formacie DOC.
Użyj Microsoft(R)Word(R), aby zobaczyć dokument."
Antywirusy opracowane przez niemieckiego producenta, w tym G DATA INTERNET SECURITY wykrywają ten szkodliwy dokument jako W97M.Downloader.AIG (silnik A) i
Macro.Trojan-Downloader.Dridex.AL (silnik B). I w tym wypadku uruchomienie
makro spowoduje pobranie z sieci pliku wykonywalnego, który infekuje komputer
ofiary i jest identyfikowany przez antywirusy G DATA jako
Trojan.GenericKD.2852932 (silnik A).
W jaki sposób
dochodzi do infekcji?
Napastnicy w załączonym dokumencie z rozszerzeniem .DOC lub
.DOCX uruchamianym przez pakiet Microsoft Office osadzają polecenia makro. Gdy
tylko użytkownik otworzy taki plik i zezwoli na wykonanie makro, niebezpieczny
kod nawiązuje połączenie z serwerem WWW lub FTP i pobiera na komputer plik
wykonywalny – w tym wypadku jest to trojan bankowy Dridex.
Andriej Ghinkul
aresztowany
Pod koniec sierpnia tego roku aresztowano Mołdawianina
Andriej'a Ghinkul'a, członka grupy cyberprzestępczej, która rozpowszechniała
trojana Dridex. Jak donosi serwis pcworld.com,
grupie tej przypisuje się wieloetapowe ataki na amerykańską firmę Penneco Oil
Company z siedzibą w Pensylwanii, która w 2012 roku została ograbiona na ponad
3 miliony dolarów.
Ogólne straty finansowe wyrządzone w USA przez tego
szkodnika są znacznie większe. FBI szacuje, że w wyniku cyberataków i
rozsyłania wiadomości typu spam, szkody gospodarcze wyrządzone tylko przez to
szkodliwe oprogramowania na terenie Stanów Zjednoczonych Ameryki Północnej
szacuje się na około 10
milionów dolarów. Z kolei National Crime Agency - służby Zjednoczonego
Królestwa Wielkiej Brytanii do walki z przestępczością mówią o stratach
sięgających blisko 31 milionów dolarów.
Skoordynowane działania amerykańskich i europejskich służb
doprowadziły do aresztowania Andriej'a Ghinkul'a , jednego z liderów grupy,
która odpowiedzialna była za rozsyłanie tysięcy maili każdego dnia ze
szkodliwym oprogramowaniem Dridex. O ile aresztowanie jednego z przestępców na
chwilę uśpiło szkodliwą działalność botnetu, o tyle sam botnet jeszcze nie
został przejęty, co wyraźnie pokazuje ostatnia fala wiadomości ze spamem.
Jak chronić swoje
pieniądze i swój komputer przed szkodliwym oprogramowaniem?
Specjaliści z G DATA wychodząc naprzeciw ostatnim
wydarzeniom, sugerują wszystkim użytkownikom, aby zastosowali się do kilku
zasad bezpieczeństwa:
1. Aktualizuj oprogramowanie trzecie oraz system operacyjny.
Wolne od potencjalnych luk aplikacje staną się odporne na ataki internetowe z
użyciem szkodliwych reklam (malvertising) oraz na ataki, w których hakerzy za
pomocą narzędzi Exploit Kit wykorzystują luki w niezaktualizowanym
oprogramowaniu do wstrzyknięcia szkodliwego kodu.
2. Nigdy nie otwieraj załączników, które otrzymujesz od
nieznanych nadawców, a w szczególności, jeśli zawierają rzekome faktury lub
podobne dokumenty, które zazwyczaj stanowią element szkodliwych kampanii z
udziałem spamu.
Co więcej, przed otwarciem takiego pliku należy zadać sobie
następujące pytania:
- Czy w ostatnim czasie zamawialiśmy produkt i czy spodziewamy się za niego faktury?
- Czy wiadomość napisana jest w zrozumiałym języku, bez błędów stylistycznych, i czy ma w ogóle sens? Jeżeli zamówiliśmy produkt lub usługę w sklepie internetowym danego kraju, wiadomość taka powinna być dostarczona w tym samym języku.
- Jeżeli masz pewność, że dokument nie jest przeznaczony dla Ciebie, nie otwieraj go. A jeśli nie możesz oprzeć się pokusie? To jest właśnie sposób, jak cyberprzestępcy wzbudzają u ofiary zaufanie, aby ta otworzyła szkodliwy plik i zainfekowała swój system operacyjny.
- Czy e-mail zawiera poufne dane, takie jak nazwę firmy, jej adres, numer klienta, nazwę użytkownika lub inne? Zweryfikuje je. A jeżeli nie musisz, nie publikuj podobnych informacji w internecie o własnej firmie. Pamiętaj, że wszystko co tam trafia, zostaje już na zawsze.
3. Pamiętaj, że internetowi przestępcy bardzo często
wykorzystują ostatnie wydarzenia na świecie, by wzbudzić u swoich ofiar zainteresowanie.
Mowa tutaj np. o kończącym się roku podatkowym, czy chociażby nadchodzącymi
Mistrzostwami Europy w piłce nożnej. Uważaj na wiadomości, które pod pozorem
oferty bardzo tanich biletów na mecze integracyjne lub finałowe będą zawierać
jakiekolwiek załączniku lub odnośniki do stron internetowych.
4. Jeżeli masz jakiekolwiek wątpliwości, pod żadnym pozorem
nie otwieraj nieznanych dokumentów i nigdy nie uruchamiaj makr.
5. Zawsze utrzymuj kompleksowe rozwiązanie zabezpieczające
aktualne. Inżynierowie z G DATA dokładają wszelkich starań, aby ich
oprogramowanie antywirusowego spełniało wszelkie normy bezpieczeństwa oraz
skutecznie wykrywało i blokowało potencjalne niebezpieczne aplikacje. W
przypadku nieznanych plików niezbędną ochroną stają się kompleksowe pakiety
antywirusowe, takie jak G DATA Internet Security wyposażone w zaporę
internetową, filtr antyspamowy oraz moduł do ochrony bankowości internetowej, a
także proaktywne metody detekcji w połączniu z analizą w chmurze oraz moduł
anty-exploit eliminujący luki bezpieczeństwa zainstalowanego oprogramowania –
od edytorów tekstowych po dodatki do przeglądarki.
I na koniec jedna z ważniejszych rad. Nawet, jeżeli
ulegliście pokusie i otworzyliście potencjalnie niebezpieczny dokument,
korzystając (koniecznie) z innego komputera, jak najszybciej zmienicie hasła do
swoich ulubionych stron internetowych oraz dokładnie przeskanujcie zainfekowany
system operacyjny pod kątem aktywności szkodliwego oprogramowania.
Komentarze
Publikowanie komentarza