ΑρχικήsecurityTo Dridex malware αποφεύγει την ανίχνευση με τη λειτουργία AutoClose

To Dridex malware αποφεύγει την ανίχνευση με τη λειτουργία AutoClose

Οι ειδικοί ασφαλείας στην Proofpoint ανακαλύψαν μια νέα καμπάνια phishing που εκμεταλλεύεται μια παραλλαγή του Dridex που αποφεύγει την ανίχνευση με τη λειτουργία AutoClose.

Dridex malware
Οι ομάδες που βρίσκονται πίσω από το τραπεζικό malware, Dridex, είναι πολύ παραγωγικές και  βελτιώνουν τον περίφημο κακόβουλο κώδικα. Πρόσφατα συζητήθηκε μια παραλλαγή του Dridex που διαδόθηκε μέσω phishing μηνυμάτων, με έγγραφα του Microsoft Office που ενσωματώνουν κακόβουλές μακροεντολές.

Οι επιτιθέμενοι εκμεταλλεύονται την τεχνική κοινωνικής μηχανικής για να παρασύρουν τα θύματα να ανοίξουν το έγγραφο και να ενεργοποιήσουν τις μακροεντολές, οι οποίες είναι απενεργοποιημένες από προεπιλογή μετά την κυκλοφορία του Office 2007.

Η πιο πρόσφατη βελτίωση για την εκστρατεία του malware είναι η ενσωμάτωση μιας λειτουργίας AutoClose VBscript ως τεχνική αποφυγής ανίχνευσης.

“Ο χρήστης δελεάζεται να ενεργοποιήσει τις μακροεντολές και να ανοίξει το συνημμένο, και όταν το ανοίξει, θα δει μια κενή σελίδα και φαινομενικά τίποτα κακό δεν θα συμβεί», δηλώνει σε ένα blog post που δημοσιεύθηκε από την Proofpoint. «Αντ ‘αυτού, η κακόβουλη δράση λαμβάνει χώρα όταν το έγγραφο είναι κλειστό. Η μέθοδος AutoClose εκτελεί μια άλλη μέθοδο, την “vhjVHsdfdsf” που περιλαμβάνει καλυμμένο κώδικα. Ο κώδικας εκτελείται με την τεχνική XOR με 0xFF, παραχωρεί PowerShell κωδικό downloader που εγκαθιστά το Dridex με botnet ID 120. ”

Βασικά, ένας μηχανισμός ανίχνευσης sandbox δεν εφαρμόζει μια λειτουργία αναμονής για τον χρήστη που κλείνει το έγγραφο.

“Δεν έχει σημασία πόσο καιρό αναμένει το sandbox, η μόλυνση δεν θα επιτευχθεί, και αν το sandbox κλείσει χωρίς να κλείσει το έγγραφο, η μόλυνση θα χαθεί εντελώς.” Αναφέρει η Proofpoint.

Το Dridex ανήκει στην οικογένεια GameOver Zeus και λειτουργεί με εισαγωγή κώδικα στα προγράμματα περιήγησης όταν τα θύματα επισκεφθούν τους online τραπεζικούς λογαριασμούς τους. Ο κακόβουλος κώδικας χρησιμοποιείται για να υποκλέψει ευαίσθητες πληροφορίες, συμπεριλαμβανομένων των τραπεζικών διαπιστευτηρίων.

Το Dridex, όπως και οι προηγούμενες παραλλαγές του GameOver Zeus, χρησιμοποιεί ένα δίκτυο αρχιτεκτονικής peer-to-peer και οι τεχνικές παραγωγής αλγόριθμων τομέα κάνουν δύσκολο τον τερματισμό των botnets.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS