Dridex bankarski trojanac

AUTOR · Published · Updated

Dridex bankarski trojanac je zlonamjerni softver koji je aktivan od 2021. godine. Poznat je još pod nazivima Cridex ili Bugat, a koristi se za krađu korisničkih lozinki, finansijskih informacija i drugih sličnih podataka.

Dridex bankarski trojanac

Dridex bankarski trojanac; Dizajn: Saša Đurić

Upoznavanje

Dridex je već dobro poznat zlonamjerni softver koji je prisutan u kibernetičkom prostoru već više od deset godina. Poznat je po tome što su mu primarne mete finansijske institucije, poslovne organizacije i pojedinci.

Dridex bankarski trojanac se obično širi kampanjama neželjene elektronske pošte, gdje poruke obično sadrže posebno pripremljene priloge ili zlonamjerni link, čijim otvaranjem ili klikom započinje proces instalacije zlonamjernog softvera na uređaj korisnika.

Ovaj zlonamjerni softver je poznat po raznim tehnikama izbjegavanja otkrivanja od strane sigurnosnih rješenja, pa između ostalog koristi dinamičke konfiguracione datoteke i skriva svoje servere iza proxy slojeva. Ipak, najzanimljivija stvar je korištenje peer-to-peer (P2P) mreže za komunikaciju sa komandnim serverom, što mu omogućava izbjegavanje praćenja od strane sigurnosnih istraživača i agencija za sprovođenje zakona, jer omogućava laku promjenu komandnog servera.

 

Karakteristike

Dridex bankarski trojanac koristi mnoge metode izbjegavanja otkrivanja od strane sigurnosnih rješenja kako bi zadržao uporište na inficiranom uređaju, a između ostalog to su:

  • Zlonamjerni softver bez datoteka – ima mogućnost infekcije uređaja bez instalacije ili preuzimanja datoteka na čvrsti disk uređaja.
  • Proces zamjene kôda – ima mogućnost ubacivanja svog kôda u legitimne procese kako bi izbjegao otkrivanje.
  • Mjere protiv ispravljanja grešaka i virtualnih okruženja – ima mogućnost otkrivanja da li se pokreće u virtualnom okruženju ili se vrši analiza grešaka. U oba slučaja će se samostalno ugasiti.

 

Proces napada

Kao što je već rečeno,  obično širi kampanjama neželjene elektronske pošte, gdje poruke obično sadrže posebno pripremljene priloge u formi Word ili Excel dokumenta koji sadrže zlonamjernu macro skriptu. Kada se omogući pokretanje macro skripte, dolazi do preuzimanja i izvršavanja aktivnog dijela Dridex zlonamjernog softvera na sistemu korisnika.

Kada dobije uporište na uređaju korisnika, Dridex može izvršavati razne zlonamjerne operacije, počevši od praćenja korisničke aktivnost unosa podataka, snimanja ekrana, do krađe lozinki. Pored toga, ovaj zlonamjerni softver može biti korišten za formiranje mreže zaraženih uređaja pod kontrolom napadača (eng. botnet).

Dridex ima mogućnost ubacivanja kôda u Internet stranice, odnosno modula koji se mogu ubaciti u HTML ili JavaScript kôda prije nego što se stranica učita. Ovo omogućava zlonamjernom softveru da manipuliše izgledom Internet stranice, pružajući mu mogućnost da prevari korisnika prilikom unosa osjetljivih informacija kao što su korisničko ime i lozinka ili finansijske informacije.

 

Izbjegavanje detekcije

Dridex bankarski trojanac koristi razne tehnike i metode za izbjegavanje otkrivanja od strane sigurnosnih rješenja za zaštitu korisnika. To podrazumijeva proces ubacivanja kôda u druge procese, korištenje imenovanih prolaza (eng. named pipes) za komunikaciju sa drugim procesima i korištenje mjera protiv ispravljanja grešaka i virtualnih okruženja.

Pored toga, Dridex koristi tehniku pod nazivom “Nebeska kapija”, kako bi omogućio pokretanje 64-bitnog kôda na 32-bitnim sistemima. Ova tehnika koristi mogućnost Windows operativnog sistema koji dozvoljava 32-bitnim aplikacijama da pozivaju 64-bitne funkcije. Na ovaj način, Dridex izbjegava otkrivanje od sigurnosnih rješenja koja nisu dizajnirana da na 32-bitnim sistemima otkrivaju 64-bitni zlonamjerni softver.

 

Zaštita

Proces zaštite bi trebalo da obuhvati praćenje sumnjivih aktivnosti, blokiranje poznatih zlonamjernih IP adresa i domena, ažuriranje softvera i edukaciju korisnika o tome kako da identifikuju i izbjegnu pokušaje krađe identiteta. Pored toga, praćenje poznatih indikatora kompromitovanja i provjera procesa i DDL datoteka za koje se zna da ih Dridex cilja mogu pomoći u otkrivanju i sprečavanju Dridex infekcija. Neke odbrambene opcije za organizacije i pojedince uključuju sljedeće:

 

  • Primjenjivati dobre prakse sajber bezbjednosti.
  • Podrazumijevano onemogućiti makro skripte.
  • Biti izuzetno pažljiv sa elektronskom poštom od nepoznatih pošiljalaca.
  • Ne otvarati priloge elektronske poslate sa nepoznatih ili sumnjivih adresa elektronske pošte ili od poznatih pošiljalaca koji se ponašaju neobično.
  • Preuzimati datoteke samo iz pouzdanih izvora.
  • Instalirati softverska ažuriranja čim postanu dostupna.
  • Koristite softver za otkrivanje zlonamjernog softvera koji se ne oslanjaju samo na otkrivanja prijetnji zasnovanih na potpisima.
  • Organizovati edukaciju korisnika o tome kako da izbjegavaju napade pecanja preko elektronske pošte (eng. phishing).

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.