Το τραπεζικό Trojan Dridex, ο διάδοχος του Cridex, έχει παρατηρηθεί να διανέμεται μέσω e-mails που ισχυρίζονται ότι είναι από την Circor International, μια εταιρεία που κατασκευάζει προϊόντα για τις αγορές ενέργειας, παραγωγής ηλεκτρικής ενέργειας, της αεροδιαστημικής και των αμυντικών υποδομών.
Το μήνυμα προσποιείται ότι φέρει ένα τιμολόγιο σε μορφή εγγράφου Word και συνοδεύεται από ένα ψεύτικο αποτέλεσμα σάρωσης από τη MessageLabs (cloud-based υπηρεσία διαδικτυακής ασφάλειας της Symantec) για να ξεγελάσει τους χρήστες στο να πιστέψουν ότι το αρχείο δεν είναι κακόβουλο.
Το αρχείο του Word περιέχει κακόβουλο macro-script που είναι ελάχιστα ανιχνεύσιμο από τα προϊόντα antivirus, σύμφωνα με μια σάρωση στο VirusTotal που έγινε από τον Conrad Longmore από το Dynamoo’s Blog. Τα αποτελέσματα οφείλονται στις εντολές που περιλαμβάνονται στη macro.
Εάν οι μακροεντολές στο Word είναι ενεργοποιημένες (η Microsoft τις έχει απενεργοποιημένες από προεπιλογή για την προστασία έναντι των κινδύνων αυτών), τότε το Dridex Trojan (bin.exe) κατεβαίνει από το “gloo.ng/js/.” Αυτή τη στιγμή, η σελίδα που παρέχει το κακόβουλο λογισμικό εμφανίζει ένα σφάλμα 404.
Το Gloo, παλαιότερα γνωστό ως Buy Common Things, είναι ένα νόμιμο σε online σούπερ μάρκετ στη Νιγηρία, που αποσκοπεί στο να γίνει στην Αφρική μια μεγάλη εταιρεία λιανικής πώλησης όπως είναι Amazon σε όλο τον κόσμο.
Σύμφωνα με τον Longmore, το Dridex αποθηκεύεται στον προσωρινό φάκελο, ως “dsfsdf.exe”, αρχείο το οποίο έχει επίσης χαμηλό ποσοστό ανίχνευσης στο VirusTotal, με μόνο τρεις από τους 48 μηχανισμούς προστασίας από ιούς να είναι σε θέση να το αναγνωρίσουν ως απειλή.
Σε ό, τι αφορά τους Command & Control (C & C) servers, το κακόβουλο λογισμικό φέρεται να επικοινωνεί με δύο διευθύνσεις IP, μία για ένα μηχάνημα που ανήκει στην Universidade De Sao Paulo στη Βραζιλία και την άλλη να ανήκει στη SIA MWTV, πάροχο υπηρεσιών Internet στη Λετονία.
Το Dridex είναι γνωστό για την κλοπή τραπεζικών διαπιστευτήριων όταν το θύμα προσπαθεί να συνδεθεί σε μια ηλεκτρονικό λογαριασμό τραπέζης. Στην ουσία παραμένει στο σύστημα και περιμένει για μία από τις ιστοσελίδες που ανήκουν στους στόχους του για να ξεκινήσει. Στη συνέχεια, διοχετεύει το περιεχόμενο HTML στη σελίδα που ζητά συμπληρωματικές πληροφορίες από το θύμα, όπως ο αριθμός κοινωνικής ασφάλισης, ημερομηνία λήξης της κάρτας και το CVV (τιμή επαλήθευσης της κάρτας).
Το κακόβουλο λογισμικό δημιουργήθηκε τον Νοέμβριο του 2014 και στόχευσε τους πελάτες της Bank of Scotland, Lloyds Bank, Danske Bank, Barclays, Kasikorn Bank, η Santander και Triodos Bank. Οι χώρες που επλήγησαν περισσότερο εκείνη την εποχή ήταν το Βιετνάμ, η Ινδία, η Ταϊβάν, η Κορέα και η Κίνα.
