В последнее время банковский троян Dridex был одним из самых обсуждаемых. Это не удивительно, поскольку он уже получил популярность сравнимую с известным банковским трояном Zeus. Dridex также является одной из наиболее серьезных угроз на текущий момент. Авторы постоянно развивают свое творение, чтобы сделать его более эффективным.



По механизмам своей работы Dridex, который также известен как Bugat и Cridex, похож на банковские трояны типа Zeus, но представляет собой новый этап развития этого типа вредоносного ПО. Для компрометации пользователей злоумышленники используют вредоносные вложения для электронных писем, причем такой метод используется ими как в случае домашних пользователей, так и в случае корпоративных.

Это может показаться странным, но злоумышленники используют для распространения Dridex метод, который был весьма популярным в конце 90-х: вредоносные макросы в Word и Excel файлах. Такой вектор атаки не ушел в прошлое, а до сих пор используется авторами Dridex. После исполнения пользователем вредоносного файла, Dridex заражает систему пользователя и включает ее в ботнет, контролируемый злоумышленниками. После успешного заражения системы, злоумышленники могут украсть личную информацию пользователя, такую как данные аккаунта онлайн-банкинга, а также отправлять боту нужные им команды.

Каждые несколько недель наша антивирусная лаборатория фиксирует методы, которыми очередная кибербанда запускает новую волну распространения трояна для пользователей в различных странах. Благодаря нашему сервису ESET Virus Radar, мы можем отслеживать те страны, на которые приходится наибольшее количество заражений трояном или те из них, на которые злоумышленники нацеливали кибератаку. Каждая такая вредоносная кампания может стоить пользователям онлайн-банкинга миллионы долларов, поэтому для нас является приоритетной задачей извещение пользователей о распространении новой модификации трояна как можно скорее.

В течение некоторого времени мы отслеживали несколько вредоносных кампаний с использованием Dridex. Наши данные показывают, что с августа этого года наблюдался всплеск активности злоумышленников использующих Dridex. Высокая активность сохранялась в сентябре, октябре и ноябре.

Статистика распространения Dridex на Virus Radar позволяет нам увидеть, что он является одним из самых распространенных в мире троянов на сегодняшний день.



Dridex поднялся на третью строчку очень быстро, поскольку еще несколько дней назад он даже не присутствовал в списке. Наибольшего успеха в заражении пользователей злоумышленники добились в европейских странах, особенно, в Испании и Словакии, а также в Южной Африке.



Информация выше показывает нам количество тех пользователей, которые пытались открыть вредоносное вложение, но антивирусный продукт ESET обнаружил и заблокировал его. Поскольку злоумышленники имели успех в различных странах мира, это говорит нам о том, что электронное фишинговое письмо с трояном, скорее всего, было написано на английском языке. Можно задаться вопросом, почему, например, пользователи в Испании открывают вложения электронных писем на английском языке, хотя он не является для них родным. Возможно, что в данном случае речь может идти о компьютерной грамотности пользователей в различных странах мира. Некоторые пользователи открывают вложения фишинговых писем просто ради любопытства и вне зависимости от того, от кого они пришли или какие данные они содержат. К счастью, для некоторых таких пользователей, их антивирусный продукт смог успешно заблокировать угрозу прежде чем она нанесла какой-либо ущерб.

Временная шкала распространения Dridex, указанная ниже, показывает, что с момента значительного повышения своей активности, наблюдалось два пика активности: 13-го и 16-го ноября.



Каждая новая волна распространения угроз подобных Dridex привлекает внимание правоохранительных органов. Такие специальные и правоохранительные службы как NSA, FBI, Europol, GCHQ и др. уже не один раз осуществляли успешный демонтаж ботнетов и устраивали облавы на киберпреступников, которые получали прибыль за счет вредоносных программ.

Наша функция также заключается в уведомлении пользователей о потенциальной угрозе, что позволит существенно снизить риск их заражения и потери денежных средств. Мы рекомендуем пользователям не переходить по фишинговым ссылкам и не открывать подозрительные вложения электронной почты.

Комментарии (1)


  1. Drumi
    30.11.2015 19:55
    +1

    С 90-х годов метод распространения вредоносного ПО не изменился, и такой быстрый рост популярности трояна фактически ничто не предотвратило. При этом известнейшая антивирусная компания рекомендует по фишинговым сайтам не переходить.
    Мне одному кажется, что что-то тут не так?

    Может быть сделать какую-то «хакерски анти-хакерскую» организацию, которая будет следить за безопасностью интернета более качественно, чем всевозможные спецслужбы, антивирусы и роскомнадзоры?