نسخه جدید بدافزار Dridex توانست آنتی‌ویروس‌ها رو دور بزند

آی‌تی‌من- به گزارش مرکز افتا، به نقل از وب‌سایت ZDNet، بدافزار Dridex یک تروجان شناخته شده است که متخصص در سرقت اطلاعات احرازهویت بانکی است. این بدافزار که ابتدا در سال ۲۰۱۴ کشف شد، دارای توسعه‌دهندگان فعالی است که به طور مداوم در حال تکامل قابلیت‌ها و بردارهای حمله آن هستند.

در ماه ژانویه سال گذشته، پژوهشگران امنیتی دریافتند که Dridex زنجیره آلودگی خود را گسترش داده است و نه تنها کاربران را از طریق فیشینگ هدف قرار می‌دهد، بلکه از طریق FTPهای آسیب‌پذیر نیز گسترش می‌یابد.

در اویل ماه جاری نسخه جدیدی از این بدافزار کشف شده است که از تکنیک لیست سفید (Whitelisting) استفاده می‌کند تا عناصر Windows Script Host را مسدود کند. بدافزار با سو استفاده از محافظت‌های اجرایی ضعیف و سیاست‌های ابزار خط فرمان (WMI (WMIC، می‌تواند از اسکریپت‌های XLS برای دور زدن اقدامات امنیتی استفاده کند.

Dridex همچنین زیرساخت‌های کتابخانه خود را افزایش داده است. پژوهشگران امنیتی می‌گویند که فایل‌های DLL این بدافزار ۶۴ بیتی هستند (به همراه هش‌های SHA۲۵۶ مرتبط) که از نام فایل‌هایی که توسط ویندوز قابل اجرا هستند، استفاده می‌کنند. با این حال، نام فایل‌ها و هش‌ها مجدد تغییر می‌کنند و هر بار که قربانی وارد یک میزبان ویندوز آلوده می‌شود، تغییر می‌یابند. نحوه نفوذ این بدافزار از طریق اسناد مخرب در پیوست ایمیل‌های اسپم است.

نمونه‌ای که از این بدافزار در VirusTotal بارگذاری شده، تنها توسط ۶تا از ۶۰ برنامه ضدویروس به عنوان بدافزار شناسایی شده است. در تاریخ ۲۷ ژوئن (۶ تیر) این تعداد به عدد ۱۶ افزایش یافته است، اما با این حال باز هم تعدادی زیادی از نرم‌افزارهای ضدویرویس آن را شناسایی نمی‌کنند. 

نشانه‌های آلودگی (IoC):

دامنه
•    ssl-pert[.]com

نام فایل اجرایی
•    servern.exe

هش فایل اجرایی
•    ۰a۵c۶۹۴۴c۳۶۲۲a۳۰۳۸۰۳a۰۵۸f۸۵۳۰۴b۰

هش فایل سند مخرب
•    ۰۴۷e۱d۶۹۷۷۶۸۸۳۱a۰۵f۲c۸۳۳b۷fd۳e۲۵