DRIDEX مشغول تقلید از ترفندهای تروجان DYRE

محققان ادعا می‌کنند که مهاجمانی که پشت تروجان Dridex هستند، دید خود را بر بانک‌هایی که در انگلستان هستند و شرکت‌های با ارزش بالا متمرکز کرده‌اند.
هنگامی که یک نسخه‌ی جدید از این تروجان دو هفته پیش منتشر شد، به سرعت منجر به مجموعه‌ای از عملیات تخریب و آلودگی در میان کاربران انگلستان شد.
Limor Kessem محقق امنیت سایبری از شرکت IBM X-Force که یک صفحه را در وبلاگ خود در مورد آخرین وضعیت این تروجان در سه‌شنبه منتشر کرده است، ادعا می‌کند که از بات‌نت Andromeda برای اعمال نفوذ استفاده می‌شود.
کاربران این تروجان ابتدا دو بانک را در انگلستان مورد حمله قرار دادند اما ظرف چند روز تعداد بانک‌های مورد حمله به ۱۳ عدد رسید. این Dridex که به بانک‌های انگلستان حمله کرده است، بسیار شگفت‌آور است، این بدافزار هر زمان در هر نقطه‌ای که پول پیدا شود نفوذ می‌کند.
آی‌بی‌ام می‌گوید که توسعه‌دهندگانی که در پس این تروجان قرار دارند به راحتی اهداف پرارزش را مورد هدف قرار می‌دهند، در این مورد نیز بانک‌ها و زیردامنه‌های آن‌ها اعم از شرکت‌های بزرگ و کوچک تجاری مورد حمله قرار گرفته‌اند.
این Dridex برای انجام حمله با فریب قربانیان برای باز کردن فاکتورهای جعلی در قالب پرونده‌های آفیس مایکروسافت مبادرت می‌ورزد که این تروجان را از طریق ماکروها وارد سامانه می‌کند.
هنگامی که کاربران از طریق وب‌گاه بانک خود بر روی پیوند کلیک می‌کنند، Dridex کاربران را به وب‌گاهی غیر از آنچه که قرار است فرستاده شوند، می‌فرستد به امید این‌که موفق شود نام‌های کاربری و رمزهای عبور آن‌ها را سرقت کند که در این حال نه کاربر و نه بانک، دیگر کاری از دستشان ساخته نیست.
اگر این فوت و فن به نظر آشنا می‌رسد که باید برسد، از روش‌‌هایی استفاده شده است که شباهت‌هایی به ترفندهای بدافزار Dyre دارد، در آنجا نیز قربانیان به وب‌گاه‌های خطرناک هدایت می‌شدند.
اما بر خلاف Dyre که کاربران را از طریق پروکسی محلی تغییر مسیر می‌داد، Dridex کاربران را از طریق DNS محلی آلوده می‌کند.
Kessem می‌گوید که در حالی که این روش جدی نیست، اما هنوز نیز مقدار زیادی زمان برای آمادگی نیاز دارد.
Kessem نوشته است: «برای آماده شدن برای چنین حملات تغییر مسیری، مجرمان اینترنتی نیاز دارند که سرمایه‌گذاری وسیعی در ایجاد وب‌گاه‌‌هایی کند که رونوشتی از وب‌گاه‌های بانک اصلی هستند. هنگامی که Dyre از این طرح استفاده می‌کرد، بیش از ده بانک را هدف قرار داد، یک عملیات با منابع فشرده که در نهایت عاملان Dyre را مجبور کرد به استفاده از تزریق وب و جایگزینی صفحات رو بیاورند.»
به نظر می‌رسد که گروه Dridex نیز تلاش خود را به سرعت در همین مسیر انجام می‌دهند به نحوی که Kessem فکر می‌کند که این دو گروه یا دارای یک مدیریت واحد و کلید‌های مشترک بوده و یا گروه Kessem برخی از وب‌گاه‌های رونوشت‌شده از گروه Dyre خریداری نموده‌اند.
هنگامی که ما آخرین بار در ماه اکتبر درباره‌ی Dridex مطالبی شنیدیم، این بدافزار به خوبی کار می‌کرد، و کاربران فرانسوی را برای باز کردن پرونده‌‌های آلوده مایکروسافت آفیس که شبیه پذیرش هتل بودند، فریب می‌داد.
این اخبار تنها چند هفته پس از آن مطرح می‌شود که مقاماتی چون پلیس فدرال آمریکا FBI، وزارت دادگستری و آژانس جرایم ملی انگلستان گزارش دادند که Dridex را با از کار انداختن یکی از بات‌نت‌های بزرگی که در پس آن قرار داشته است، خلع سلاح نموده‌اند. بنابراین چون این تروجان همچنان به راه خود در اروپا ادامه می‌دهد، نشان می‌دهد که هنوز نمرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.