بدافزار جدید dridex که حساب های بانکی را هدف قرار داده است

#امنیت ؛ در این مقاله به بررسی بدافزار جدید dridex می پردازیم که حساب های بانکی را هدف قرار داده است . با ما همراه باشید : 

 

 

محققان امنیتی فلش‌پوینت هشدار دادند در پویش جدیدی که بدافزار Dridex را توزیع می‌کند روش جدید برای دور زدن کنترل حساب کاربری۱(UACC) مشاهده شده است.

 

بدافزار Dridex که اولین بار در سال ۲۰۱۴ کشف شده به‌نوعی جانشین بدافزار GameOver ZeuS است. این بدافزار از معماری نظیر به نظیر برای محافظت از کارگزارهای دستور و کنترل خود استفاده می‌کند. در ابتدای امر، فعالیت بدافزار Dridex در حوزه‌ی تروجان‌های بانکی بود و سطح فعالیت این بدافزار نسبت به سال ۲۰۱۴ و ۲۰۱۵ بسیار فروکش کرده است. ( بدافزار جدید )

 

 

در پویش کوچکی که اخیراً از این بدافزار مشاهده شده و مؤسسات مالی در انگلستان را هدف قرار داده است، از روش جدیدی برای دور زدن کنترل حساب کاربری استفاده می‌شود. در این روش دور زدن، از یک پرونده‌ی پیش‌فرض در ویندوز برای بازیابی دیسک با نام recdisc.exe استفاده می‌شود. همچنین مشاهده شده این بدافزار با SPP.dll جعلی، کدهای مخرب دیگری را بارگذاری می‌کند و با استفاده از svchost و spoolsrv با نظیرهای دیگر و کارگزاهای دستور و کنترل لایه‌ی اول ارتباط برقرار می‌کند. ( بدافزار جدید )

 

طبق معمول، بدافزار Dridex از طریق هرزنامه به همراه ضمیمه‌های ورد توزیع می‌شود. در این اسناد ورد از ماکروهای مخربی استفاده شده که برای بارگیری و نصب بدافزار مورد استفاده قرار می‌گیرد. ماژول ابتدایی که توسط اسناد ورد در سامانه‌ی کاربر قرار می‌گیرد، صرفاً یک نصب‌کننده است که برای بارگیری بار داده‌ی Dridex استفاده می‌شود. پس از آلوده شدن رایانه‌ی قربانی، بدافزار از مکان جاری به داخل پوشه‌ی موقتی منتقل می‌شود.( بدافزار جدید )

 

بدافزار جدید بدافزار جدید بدافزار جدید dridex که حساب های بانکی را هدف قرار داده است 103
کارشناسان فلش‌پوینت توضیح دادند: «پس از آلودگی به بدافزار، ماژول‌های دستیابی به توکن و webinject به مهاجمان اجازه می‌دهد تا به سرعت برای بدست آوردن اطلاعات بیشتر، درخواست بدهند. این اطلاعات برای احراز هویت subvert و هر سامانه‌ی ضدکلاه‌برداری در مؤسسات مالی مورد نیاز است. مهاجمان می‌توانند یک دیالوگ ویندوزی ویژه را ایجاد کنند و از کاربر اطلاعات بیشتری را از جمله اطلاعات بانکی درخواست کنند.»

 

بر روی ماشین آلوده، بدافزار Dridex از پرونده‌ی اجرایی و پیش‌فرض برای بازیابی دیسک با نام recdisc.exe استفاده می‌کند تا یک SPP.dll جعلی را بارگذاری کرده و در ویندوز ۷، ویژگی کنترل حساب کاربری را دور بزند. این دور زدن باعث می‌شود به‌طور خودکار امتیازات برنامه ارتقاء پیدا کند. بدافزار Dridex از این ویژگی برای اجرای دو دستور بر روی رایانه‌ی قربانی استفاده می‌کند. ( بدافزار جدید )

 

برای دور زدن کنترل حساب کاربری، بدافزار یک پوشه در مسیر Windows\System۳۲\۶۸۸۶ ایجاد می‌کند. در ادامه پرونده‌های قانونی را از مسیر Windows\System۳۲\recdisc.exe به Windows\System۳۲\۶۸۸۶\ رونویسی می‌کند. بدافزار در ادامه نیز خودش را به عنوان پرونده‌ی موقتی در %APPDATA%\Local\Temp رونویسی کرده و خودش را به Windows\System۳۲\۶۸۸۶\SPP.dll منتقل می‌کند. در ادامه نیز بدافزار wu*.exe و po*.dll را از پوشه‌ی Windows\System۳۲ حذف کرده و recdisc.exe را اجرا می‌کند و در نهایت خودش را با امتیازات ویژه به‌عنوان SPP.dll جعلی بارگذاری می‌کند. ( بدافزار جدید )

 

محققان امنیتی همچنین کشف کردند این تروجان بانکی با نظیرهای خود بر روی درگاه‌های ۴۴۳۱-۴۴۳۳ ارتباط برقرار می‌کند. در این پویش ویژه، نظیرها ماشین‌های دیگری هستند که آن‌ها نیز آلوده به بدافزار Dridex شده‌اند.

 

مقالات متبط :
بدافزار جدید اندرویدی HummingWhale
بدافزار گوشی اندرویدی

 

 

پیمان قربانزاده
پیمان قربانزاده
با سلام . پیمان قربانزاده هستم . مدیر سایت پویا سیستم . من و تمام مجموعه پویا سیستم خوشحال می شویم که به شما در زمینه مشکلات نرم افزاری که دارید . کمک کنیم . پس با ما در ارتباط باشید .

سیستم نظردهی برای این مطلب توسط مدیریت بسته شده است.