نسخه جدیدی از تروجان بانکی Dridex کشف شده است که میتواند از شناسایی توسط محصولات ضدویروس قدیمی جلوگیری کند.
آیتیمن- به گزارش مرکز افتا،
به نقل از وبسایت ZDNet، بدافزار Dridex یک تروجان شناخته شده است که متخصص در سرقت اطلاعات احرازهویت بانکی است. این بدافزار که ابتدا در سال ۲۰۱۴ کشف شد، دارای توسعهدهندگان فعالی است که به طور مداوم در حال تکامل قابلیتها و بردارهای حمله آن هستند.
در ماه ژانویه سال گذشته، پژوهشگران امنیتی دریافتند که Dridex زنجیره آلودگی خود را گسترش داده است و نه تنها کاربران را از طریق فیشینگ هدف قرار میدهد، بلکه از طریق FTPهای آسیبپذیر نیز گسترش مییابد.
در اویل ماه جاری نسخه جدیدی از این بدافزار کشف شده است که از تکنیک لیست سفید (Whitelisting) استفاده میکند تا عناصر Windows Script Host را مسدود کند. بدافزار با سو استفاده از محافظتهای اجرایی ضعیف و سیاستهای ابزار خط فرمان (WMI (WMIC، میتواند از اسکریپتهای XLS برای دور زدن اقدامات امنیتی استفاده کند.
Dridex همچنین زیرساختهای کتابخانه خود را افزایش داده است. پژوهشگران امنیتی میگویند که فایلهای DLL این بدافزار ۶۴ بیتی هستند (به همراه هشهای SHA۲۵۶ مرتبط) که از نام فایلهایی که توسط ویندوز قابل اجرا هستند، استفاده میکنند. با این حال، نام فایلها و هشها مجدد تغییر میکنند و هر بار که قربانی وارد یک میزبان ویندوز آلوده میشود، تغییر مییابند. نحوه نفوذ این بدافزار از طریق اسناد مخرب در پیوست ایمیلهای اسپم است.
نمونهای که از این بدافزار در VirusTotal بارگذاری شده، تنها توسط ۶تا از ۶۰ برنامه ضدویروس به عنوان بدافزار شناسایی شده است. در تاریخ ۲۷ ژوئن (۶ تیر) این تعداد به عدد ۱۶ افزایش یافته است، اما با این حال باز هم تعدادی زیادی از نرمافزارهای ضدویرویس آن را شناسایی نمیکنند.
نشانههای آلودگی (IoC):
دامنه
• ssl-pert[.]com
نام فایل اجرایی
• servern.exe
هش فایل اجرایی
• ۰a۵c۶۹۴۴c۳۶۲۲a۳۰۳۸۰۳a۰۵۸f۸۵۳۰۴b۰
هش فایل سند مخرب
• ۰۴۷e۱d۶۹۷۷۶۸۸۳۱a۰۵f۲c۸۳۳b۷fd۳e۲۵