Dridex Trojan განახლებულია AtomBombing თავის არიდების ტექნიკით

  • Oct 16, 2023

მავნე პროგრამის მნიშვნელოვანი განახლება პოტენციურად კიდევ უფრო მეტ თავის ტკივილს გამოიწვევს ევროპულ ბანკებს.

black-vine-header-imagecredsymantec.jpg
Symantec

Dridex Trojan-მა მიიღო განახლება, რომელიც აწვდის მავნე პროგრამას ახალი, დახვეწილი ინექციის ტექნიკით და აცილების შესაძლებლობებით, რომელიც ცნობილია როგორც AtomBombing.

სამშაბათს IBM X-Force-ის მკვლევარებმა გამოაქვეყნა ახალი კვლევა რომელმაც გამოავლინა Dridex-ის უახლესი ვერსია და მისი ახალი შესაძლებლობები.

ფინანსური ტროას უახლესი ვერსია, მეოთხე ვერსია, რამდენიმე კვირის წინ აღმოაჩინეს. IBM ამბობს, რომ მავნე პროგრამაში შემავალი AtomBombing-ის აღმოჩენა არის საბანკო მავნე პროგრამის პირველი მაგალითი, რომელიც იყენებს დახვეწილ კოდირებას.

IBM ამბობს, რომ აღმოჩენა მნიშვნელოვანია, რადგან სავარაუდოა, რომ სხვა კიბერკრიმინალები მოერგებიან საკუთარ ტროას კოდებს, რომ გახდეს ისეთივე საშიში. მომავალში და ბანკებმა უნდა გააგრძელონ ეს განვითარებადი საფრთხეები, რათა უზრუნველყონ მათი მომხმარებლები მაქსიმალურად უსაფრთხოდ ონლაინ სისტემების გამოყენებისას.

Dridex არის ერთ-ერთი ყველაზე ცნობილი ტროა, რომელიც მოხვდა ევროპულ ფინანსურ ინსტიტუტებზე. ტროას ხშირად შეაღწია მსხვერპლის კომპიუტერებში მავნე მაკროების მეშვეობით, რომლებიც ჩაშენებულია Microsoft-ის დოკუმენტებში ან მეშვეობით ვებ-ინექციური თავდასხმები, და როგორც კი სისტემა დაზარალდება, იპარავს ონლაინ საბანკო სერთიფიკატებს და ფინანსურ მონაცემები.

Dridex პირველად 2014 წელს დაფიქსირდა გაერთიანებულ სამეფოში სპამის კამპანიის მეშვეობით გავრცელების შემდეგ.

თუმცა, ატომური დაბომბვა პირველი იყო გასული წლის ოქტომბერში გახდა ცნობილი უსაფრთხოების ფირმა enSilo-ს მიერ. კიბერთავდამსხმელები შეუძლია ისარგებლოს Window-ის ძირითადი ატომური ცხრილებით ოპერაციული სისტემის ყველა ვერსიაზე, ლეგიტიმური პროგრამების იძულებით, მოიძიონ მავნე კოდი ატომის ცხრილში.

Dridex-ის შემქმნელებმა აირჩიეს ამ ექსპლოიტის მხოლოდ ნაწილის გამოყენება. მავნე პროგრამა აკოპირებს დატვირთვას წაკითხვის-ჩაწერის (RW) მეხსიერების სივრცეში სამიზნე პროცესში, მაგრამ იყენებს სხვა მეთოდს დატვირთვის ჩასაწერად და შესასრულებლად.

Windows API-ებზე საეჭვო ზარების რისკის ნაცვლად, Dridex მოუწოდებს ვირტუალური მეხსიერების პროცესს, რათა შეცვალოს უკვე ჩაწერილი მეხსიერება პროცესში.

„ეს არის მარტივი გამოსწორება და მცირე კომპრომისი საერთო ტექნიკის გულისთვის, რომელიც შექმნილია საეჭვო API ზარების თავიდან ასაცილებლად, რომლებსაც ჩვეულებრივ აკონტროლებს უსაფრთხოების პროგრამული უზრუნველყოფა“, აღნიშნავს IBM.

Იხილეთ ასევე: Dridex Trojan მიზნად ისახავს გაერთიანებული სამეფოს ბანკებს, თავს არიდებს ორფაქტორიანი ავთენტიფიკაციის შემოწმებას

მკვლევარები ამბობენ, რომ Dridex-ის დეველოპერებმა ასევე გააუმჯობესეს ტროას კონფიგურაციის დაშიფვრა და მდგრადობის მექანიზმები.

Dridex V.4 უკვე გამოვიდა და აქტიურად უტევს გაერთიანებული სამეფოს ბანკებს გადამისამართების სქემებისა და მავნე პროგრამების საშუალებით. hVNC RAT შესაძლებლობები, რომლებმაც, როგორც ჩანს, შეცვალეს ტროას ვებ-ინექციური მეთოდები, რომლებიც ოდესღაც ყველაზე გავრცელებული გზები იყო პოტენციური მსხვერპლის დასამიზნებლად.

„ძირითადი ვერსიის განახლების გამოშვება დიდი საქმეა ნებისმიერი პროგრამული უზრუნველყოფისთვის და იგივე ეხება მავნე პროგრამას“, - ამბობს IBM. ”ამ განახლების მნიშვნელობა არის ის, რომ Dridex აგრძელებს განვითარებას დახვეწილობის თვალსაზრისით, ინვესტირებას შემდგომ ძალისხმევაში უსაფრთხოების თავიდან აცილებისა და მისი შესაძლებლობების გასაძლიერებლად ფინანსური თაღლითობის გასააქტიურებლად.”

კიბერუსაფრთხოების საკითხავი, რომელიც ეკუთვნის ყველა წიგნის თაროზე

უსაფრთხოება

უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ
  • უაღრესად დაცული დისტანციური მუშაკების 8 ჩვევა
  • როგორ მოვძებნოთ და ამოიღოთ spyware თქვენი ტელეფონიდან
  • საუკეთესო VPN სერვისები: როგორ ადარებენ საუკეთესო ხუთეულს?
  • როგორ გავარკვიოთ, ხართ თუ არა ჩართული მონაცემების დარღვევაში -- და რა უნდა გააკეთოთ შემდეგ

ორგანიზაციის კიბერუსაფრთხოების გადახედვის 5-საფეხურიანი გეგმა: