وزارت امنیت داخلی امریکا (DHS) هشدار میدهد که تروجان Dridex همچنان تهدید مهمی برای اطلاعات کاربران است و انتظار میرود که اپراتورهای آن همچنان از آن در حملاتی که بخش خدمات مالی را هدف قرار میدهد، استفاده کنند. یکی از جانشینهای تروجان Cridex، Dridex است که از سال ۲۰۱۲ میلادی ظهور پیدا کرده و طی چهارسال اخیر یکی از تهدیدهای مالی بسیار خطرناک شناخته شده است. این بدافزار پیشرفتهای بسیاری داشته است و اپراتورهای آن طی این سالها روشها و اهداف آن را چندین بار تغییر دادهاند.
هفتهی گذشته، وزارت دادگستری امریکا بهخاطر استفاده از Dridex و بدافزار مشابه دیگر کیفرخواستی علیه دو شخص روسی تنظیم کرد. گفته شده است که این دو شخص از اعضای گروه تهدید Evil Corp یا همان TA505 هستند. در همان زمان، امنیت سایبری DHS و آژانس امنیتی زیرساخت (CISA) دربارهی استفاده از Dridex و مشتقات آن در پویشهایی که مؤسسههای مالی و سایر مشتریان را هدف قرار میدهد، هشدار داد. CISA هشدار داد که این بدافزار معمولاً از طریق ایمیلهای فیشینگی توزیع میشود که سعی دارند گیرنده را برای باز کردن پیوستهای مخرب یا کلیک روی لینکهایی که درنهایت منجر به نصب بدافزار در دستگاه قربانی میشود، فریب دهند. بهرهبرداریها و روشهای مختلفی برای آلودگی استفاده میشود.
در این هشدار گفته شده است که Dridex یک طراحی ماژولار دارد و از مؤلفههای متفاوتی برای قابلیتهای مختلف مانند تهیهی اسکرینشات، عمل کردن بهعنوان یک دستگاه مجازی یا انداختن دستگاه قربانی در دام یک باتنت استفاده میکند. Didex پس از نصب در دستگاه قربانی، میتواند بار دادهی بیشتری دانلود کند، یک شبکهی مجازی ایجاد کند، فایلها را حذف کند، به مرورگرها نفوذ کند، هنگام دسترسی به برنامهها و وبگاههای بانکی کاربران را شناسایی کند و بهمنظور سرقت اطلاعات ورود مشتری کد تزریق کند.
CISA بیان میکند که بدافزار Dridex از زمان آغاز به کار با انتشار نسخههای مختلف تکامل یافته تا با مرورگرهای بهروزرسانیشده انطباق پیدا کند. اگرچه این ویژگیهای توصیفشده برخی از پیکربندیهای اخیر را منعکس میکند، اما عاملان تهدید همچنان آسیبپذیریهای موجود در نرمافزارهای پرکاربرد را شناسایی و از آنها بهرهبرداری میکنند. اپراتورهای این بدافزار در پویشهای باجافزاری ازجمله حملاتی که از بدافزاری مانند BitPaymer یا Locky استفاده میکنند و از طریق باتنتهایی مانند Dridex توزیع میشوند، شرکت کردهاند.
اگرچه بیشترین میزان آلودگی در اواخر سال ۲۰۱۵ میلادی و اوایل سال ۲۰۱۶ میلادی اتفاق افتاد، اما همزمان با توزیع باجافزار Locky، بدافزار Dridex نیز همچنان کشورهای مختلف را تحت تأثیر قرار میدهد. به نظر میرسد که نفوذگران Dridex اکثر حملات را در کشورهای انگلیسی زبان هدایت میکنند.
برای مقابله با حملات احتمالی Dridex، سازمانها باید اطمینان حاصل کنند که سیستمها میتوانند از اجرای ماکروها جلوگیری کنند، کارمندان را آموزش دهند، پشتیبانهای منظمی از دادهها تهیه کنند، سیستمها و نرمافزار امنیتی را بهروز نگه دارند، مجوزهای کاربری را محدود کنند، پیوستهای ایمیل را اسکن کنند، بر رفتار کاربر نظارت کنند، فایلهای دانلودشده توسط نرمافزار را اسکن کنند و خدمات غیرضروری یا اشتراک شبکه را غیرفعال کنند.