Dridex, un nou troian care vizează utilizatorii serviciilor de online banking

Potrivit Bitdefender, un nou troian bancar activ în România are ca ţintă exclusivă utilizatorii serviciilor de online banking. Troianul Dridex se propagă prin mesaje email, campania reprezentnând unul dintre cele mai complexe eforturi ale hackerilor de a fura datele de autentificare ale victimelor din România.

Dridex este un virus relativ nou, evoluat din malware-ul Cridex, care la rândul sau este succesorul cunoscutului troian Zeus. Infecţiile cu Dridex au apărut la finalul anului 2014. Fiecare campanie de propagare se concentrează pe o anumită regiune a lumii.

Virusul se propagă fie printr-un fişier executabil ataşat la mesaje spam, fie prin link-uri care descarcă automat virusul odată ce sunt accesate.  Noua campanie foloseşte fişiere Word şi Excel care includ cod de tip macro. Acestea instalează un downloader generic pentru a descărca şi executa Dridex.  Mesajele, trimise în perioada 10-17 august 2015, par să fie trimise de la companii româneşti şi pretind să conţină documente financiare importante pentru utilizator. Dacă utilizatorul deschide fişierul Word şi activează funcţionalitatea macro (dezactivată automat de programul Word pentru a evita riscurile de securitate), aplicaţia Word va lansa automat procesul de descărcare a virusului. 

Troianul Dridex e un fişier DLL care se injectează în procesul explorer.exe, de unde va monitoriza activitatea bancară şi de navigare a utilizatorului, indiferent de browserul folosit: Firefox, Google Chrome sau Internet Explorer.  Pentru a comunica cu serverele de comandă ale hackerilor, virusul crează o regulă de firewall nouă, fapt care ar putea să pară suspect pentru unii utilizatori. Centrele de comandă şi control sunt actualizate permanent şi dictează virusului ce tip de informaţii să fure de la utilizator.  

Troianul Dridex este momentan configurat să atace două bănci româneşti. Pentru a captura datele de autentificare, acesta foloseşte diferite module. Pentru banca care foloseşte tastatura virtuală la introducerea parolei, troianul face capturi de ecran la fiecare click de mouse. Pentru cealaltă bancă, Troianul foloseşte un modul care injectează cod în pagina de autentificare. 

Sfaturi de prevenţie

Dridex este greu de identificat pe un calculator deja infectat. Pentru a rămâne nedepistat, virusul se adaugă la programele care pornesc odată cu sistemul de operare doar înaintea închiderii calculatorului. După ce PC-ul este repornit, virusul se elimină din lista de programe ce pornesc automat, ceea ce îl face aproape invizibil. În cazul unei pene de curent sau închiderii bruşte a calculatorului, virusul nu se va mai putea executa, deoarece nu se află în lista de aplicaţii care trebuie repornite.  Pentru a preveni infecţia, Bitdefender le recomandă utilizatorilor să folosească o soluţie de securitate performantă şi actualizată la zi şi să evite să dea click pe linkuri provenite din emailuri de la expeditori necunoscuţi. Dacă suspectează că sunt infectaţi, utilizatorii pot încerca apăsarea butonul de Reset pentru a opri derularea acestuia la repornirea PC-ului. De asemenea, este bine ca aceştia să notifice instituţia bancară la care au cont şi să-şi schimbe datele de autentificare în cel mai scurt timp posibil.

Pentru utilizatorii frecvenţi de e-banking, Bitdefender recomandă folosirea unui browser special precum Bitdefender SafePay. Safepay rulează într-un mediu izolat şi blochează tentativele de injecţie sau preluarea de capturi de ecran în timpul autentificării cu tastatură virtuală.