Un nou virus ameninţă băncile din România

17.08.2015

Utilizatorii serviciilor de online banking din România sunt ținta exclusivă a unui nou val de mesaje spam trimis în ultimele zile, au afirmat specialiștii Bitdefender. Campania reprezintă unul dintre cele mai complexe eforturi ale hackerilor de a instala troianul Dridex și a fura datele de autentificare ale victimelor din România.

Dridex este un virus relativ nou, evoluat din malware-ul Cridex, care la rândul sau este succesorul cunoscutului troian Zeus. Infecțiile cu Dridex au apărut la finalul anului 2014. Fiecare campanie de propagare se concentrează pe o anumită regiune a lumii.

Virusul se propagă fie printr-un fișier executabil atașat la mesaje spam, fie prin link-uri care descarcă automat virusul odată ce sunt accesate. Noua campanie folosește fișiere Word și Excel care includ cod de tip macro. Acestea instalează un downloader generic pentru a descărca și executa Dridex.

Mesajele, trimise în perioada 10-17 august, par să fie trimise de la companii românești și pretind să conțină documente financiare importante pentru utilizator. Dacă utilizatorul deschide fișierul Word și activează funcționalitatea macro (dezactivată automat de programul Word pentru a evita riscurile de securitate), aplicația Word va lansa automat procesul de
descărcare a virusului.

Troianul Dridex e un fișier DLL care se injectează în procesul explorer.exe, de unde va monitoriza activitatea bancară și de navigare a utilizatorului, indiferent de browserul folosit: Firefox, Google Chrome sau Internet Explorer.

Pentru a comunica cu serverele de comandă ale hackerilor, virusul crează o regulă de firewall nouă, fapt care ar putea să pară suspect pentru unii utilizatori. Centrele de comandă și control sunt actualizate permanent și dictează virusului ce tip de informații să fure de la utilizator.

Troianul Dridex este momentan configurat să atace două bănci românești. Pentru a captura datele de autentificare, acesta folosește diferite module. Pentru banca care folosește tastatura virtuală la introducerea parolei, troianul face capturi de ecran la fiecare click de mouse.

 

 

Citiți și despre: