اپراتورهای تروجان Dridex همچنان خدمات مالی را هدف قرار می‌دهند

وزارت امنیت داخلی امریکا (DHS) هشدار می‌دهد که تروجان Dridex همچنان تهدید مهمی برای اطلاعات کاربران است و انتظار می‌رود که اپراتورهای آن همچنان از آن در حملاتی که بخش خدمات مالی را هدف قرار می‌دهد، استفاده کنند. یکی از جانشین‌های تروجان Cridex، Dridex است که از سال ۲۰۱۲ میلادی ظهور پیدا کرده و طی چهارسال اخیر یکی از تهدیدهای مالی بسیار خطرناک شناخته شده است. این بدافزار پیشرفت‌های بسیاری داشته است و اپراتورهای آن طی این سال‌ها  روش‌ها و اهداف آن را چندین بار تغییر داده‌اند.

هفته‌ی گذشته، وزارت دادگستری امریکا به‌خاطر استفاده از Dridex و بدافزار مشابه دیگر کیفرخواستی علیه دو شخص روسی تنظیم کرد. گفته شده است که این دو شخص از اعضای گروه تهدید Evil Corp یا همان TA505 هستند. در همان زمان، امنیت سایبری DHS و آژانس امنیتی زیرساخت (CISA) درباره‌ی استفاده از Dridex و مشتقات آن در پویش‌هایی که مؤسسه‌های مالی و سایر مشتریان را هدف قرار می‌دهد، هشدار داد. CISA هشدار داد که این بدافزار معمولاً از طریق ایمیل‌های فیشینگی توزیع می‌شود که سعی دارند گیرنده را برای باز کردن پیوست‌های مخرب یا کلیک روی لینک‌هایی که درنهایت منجر به نصب بدافزار در دستگاه قربانی می‌شود، فریب دهند. بهره‌برداری‌ها و روش‌های مختلفی برای آلودگی استفاده می‌شود.

در این هشدار گفته شده است که Dridex یک طراحی ماژولار دارد و از مؤلفه‌های متفاوتی برای قابلیت‌های مختلف مانند تهیه‌ی اسکرین‌شات، عمل کردن به‌عنوان یک دستگاه مجازی یا انداختن دستگاه قربانی در دام یک بات‌نت استفاده می‌کند. Didex پس از نصب در دستگاه قربانی، می‌تواند بار داده‌ی بیشتری دانلود کند، یک شبکه‌ی مجازی ایجاد کند، فایل‌ها را حذف کند، به مرورگرها نفوذ کند، هنگام دسترسی به برنامه‌ها و وب‌گاه‌های بانکی کاربران را شناسایی کند و به‌منظور سرقت اطلاعات ورود مشتری کد تزریق کند.

CISA بیان می‌کند که بدافزار Dridex از زمان آغاز به کار با انتشار نسخه‌های مختلف تکامل یافته تا با مرورگرهای به‌روزرسانی‌شده انطباق پیدا کند. اگرچه این ویژگی‌های توصیف‌شده برخی از پیکربندی‌های اخیر را منعکس می‌کند، اما عاملان تهدید همچنان آسیب‌پذیری‌های موجود در نرم‌افزارهای پرکاربرد را شناسایی و از آن‌ها بهره‌برداری می‌کنند. اپراتورهای این بدافزار در پویش‌های باج‌افزاری ازجمله حملاتی که از بدافزاری مانند BitPaymer یا Locky استفاده می‌کنند و از طریق بات‌نت‌هایی مانند Dridex توزیع می‌شوند، شرکت کرده‌اند.

اگرچه بیشترین میزان آلودگی در اواخر سال ۲۰۱۵ میلادی و اوایل سال ۲۰۱۶ میلادی اتفاق افتاد، اما همزمان با توزیع باج‌افزار Locky، بدافزار Dridex نیز همچنان کشورهای مختلف را تحت تأثیر قرار می‌دهد. به نظر می‌رسد که نفوذگران Dridex اکثر حملات را در کشورهای انگلیسی زبان هدایت می‌کنند.

برای مقابله با حملات احتمالی Dridex، سازمان‌ها باید اطمینان حاصل کنند که سیستم‌ها می‌توانند از اجرای ماکروها جلوگیری کنند، کارمندان را آموزش دهند، پشتیبان‌های منظمی از داده‌ها تهیه کنند، سیستم‌ها و نرم‌افزار امنیتی را به‌روز نگه دارند، مجوزهای کاربری را محدود کنند، پیوست‌های ایمیل را اسکن کنند، بر رفتار کاربر نظارت کنند، فایل‌های دانلودشده توسط نرم‌افزار را اسکن کنند و خدمات غیرضروری یا اشتراک شبکه را غیرفعال کنند.

منبع

پست‌های مشابه

Leave a Comment