CERT-RO: Aproape 90% din toate sistemele infectate cu Dridex se regăsesc în ţara noastră

Aproape 90% din toate sistemele infectate cu troianul Dridex se regăsesc în România, conform telemetriei realizate de Bitdefender, citată de Centrul de Răspuns la Incidente de Securitate Cibernetică (CERT-RO).

Recent, Bitdefender a adus în atenţia publică o nouă campanie complexă de distribuţie a troianului Dridex, prin mesaje de tip spam, ce vizează utilizatorii de servicii online oferite de două bănci din România.

Potrivit unui raport Bitdefender, se pare că Dridex fură datele de autentificare ale persoanelor, fiind vorba inclusiv de clienţi ai unor bănci autohtone cum ar fi BRD şi ING.

Bogdan Botezatu, Sr. Security Analyst de la Bitdefender, ne-a declarat că nu a primit solicitări de soluţii din partea celor două bănci privind prevenirea sau minimizarea efectelor atacului Dridex.

Domnul Botezatu ne-a spus: "Creatorii de atacuri informatice nu au ales aceste bănci în mod special. Ei trimit valuri de spam unui număr cât mai mare de utilizatori de servicii bancare, de la diverse bănci. BRD şi ING au apărut în sample-urile analizate de noi, însă cu siguranţă vorbim de mult mai multe ţinte.(...) Atacul este îndreptat asupra utilizatorilor români de servicii bancare şi în mod foarte probabil în frame-ul de malware sunt prinse toate băncile din România care oferă servicii de acest tip".

Domnul Botezatu ne-a declarat că nu există o soluţie construită special pentru contracararea Dridex: "În domeniul SMB/SME/Large Enterprise (companii mici, IMM-uri sau companii mari), soluţiile de securitate se configurează având la bază tipul de infrastructură protejată şi anumite funcţionalităţi cerute de utilizatori. Preţurile depind de aceşti doi parametri şi variază pe o plaja extrem de largă".

Specialistul Bitdefender ne-a spus că serverul de pe care se descarcă Dridex este găzduit în Franţa, iar mesajele spam originale vin de pe calculatoare infectate din Germania şi Franţa. "Trebuie înţeles însă că virusul nu este de origine franceză sau germană; atacatorii folosesc pentru răspândirea lui infrastructuri informatice din aceste state", ne-a mai spus domnul Botezatu, care a adăugat că prezenţa virusului Dridex este aproape imposibil de detectat fără un produs antivirus instalat: "Cea mai sigură metodă de a evita efectele acestui troian e protecţia în avans, de aceea sfătuim utilizatorii să nu deschidă mesaje provenite de la surse necunoscute. Dacă totuşi s-au infectat, utilizatorii sunt sfătuiţi să contacteze de urgenţă banca pentru a-şi schimba detaliile de autentificare în sistemul de e-banking".

Dridex nu acţionează pe platforme mobile, potrivit specialistului Bitdefender.

În cazul băncilor, CERT-RO recomandă securizarea sistemelor şi serviciilor bancare online prin implementarea de mecanisme de autentificare în doi paşi (two-factor authentication), protejarea utilizatorilor de servicii bancare online prin utilizarea de software specializat anti-fraudă şi derularea de campanii de educare şi informare a utilizatorilor cu privire la modul de utilizare a serviciilor online.

Evoluat din malware-ul Cridex, care la rândul său este succesorul cunoscutului troian Zeus, Dridex şi-a făcut apariţia la finalul anului 2014, fiecare campanie de propagare concentrându-se pe o anumită regiune a lumii.

Virusul se propagă fie printr-un fişier executabil ataşat la mesaje spam, fie prin link-uri care descarcă automat virusul odată ce sunt accesate. Noua campanie foloseşte fişiere Word şi Excel care includ cod de tip macro. Acestea instalează un downloader generic pentru a descărca şi executa Dridex. Mesajele, trimise în perioada 10-17 august 2015, par să fie trimise de la companii româneşti şi pretind să conţină documente financiare importante pentru utilizator. Dacă utilizatorul deschide fişierul Word şi activează funcţionalitatea macro (dezactivată automat de programul Word pentru a evita riscurile de securitate), aplicaţia Word va lansa automat procesul de descărcare a virusului.

Dridex este un fişier DLL ce se injectează în procesul explorer.exe, de unde va monitoriza activitatea bancară şi de navigare a victimei, indiferent de browserul folosit: Firefox, Google Chrome sau Internet Explorer. Mai mult decât atât, malware-ul creează o regulă de firewall nouă pentru a comunica cu serverele de comandă-control (C2) ale atacatorilor. Această regulă poate semnala victimelor o posibilă infecţie, precizează CERT-RO.

Pentru a captura datele de autentificare, malware-ul foloseşte diferite module. Pentru banca care foloseşte tastatura virtuală la introducerea parolei, troianul face capturi de ecran la fiecare click de mouse. Pentru cealaltă bancă, troianul foloseşte un modul care injectează cod în pagina de autentificare.

Dridex este greu de identificat pe un calculator deja infectat. Pentru a rămâne nedepistat, acesta se adaugă la programele ce pornesc odată cu sistemul de operare, însă acest lucru se întâmplă doar înaintea închiderii calculatorului, potrivit CERT-RO. Deşi această caracteristică face infecţia aproape invizibilă, ea poate fi utilă victimei deoarece, în cazul unei pene de curent sau închiderii bruşte a calculatorului, troianul nu se va mai putea executa, deoarece nu se afla în lista de aplicaţii care trebuie repornite. Cu toate acestea este încă posibilă observarea infecţiei prin căutarea altor chei de registru, precum cea în care se stochează datele de configurare ale malware-ului (în care este stocat un volum mare de date).