بدافزار

Dridex؛ عضو جدیدی از خانواده “بدافزارهای بانکی”

Dridex بدافزاری بانکی است که مجوزهای دسترسی کاربر به سامانه های بانکداری الکترونیکی را زمانی که او به سایت بانک مراجعه می نماید، سرقت می کند.

Dridex یکی از گونه های خانواده بدافزار Cridex است. آخرین گونه این بدافزار در 25 خرداد کشف و شناسایی شده است.

این بدافزار در یکی از قالب‌های DOC، XLS و XML بصورت پیوست ایمیل های ناخواسته (هرزنامه یا spam) منتشر می شود.

Dridex-1

Dridex-2

نکته ای که بدافزار Dridex را از دیگر بدافزارهای مشابه امروزی متمایز می کند، روش آلوده ساختن کامپیوتر میزبان خود است.

در درون فایل، فرامین ماکرو (Macro)ی مخرب بصورت رمز شده جاسازی شده اند. با اجرا شدن فایل، فرامین ماکرو رمزگشایی شده و اقدام به آلوده کردن دستگاه می کنند.

در برخی از گونه های این بدافزار، فایل پیوست حاوی Office Active Object است و کد مخرب در فایل OLE بعنوان کدی بومی (Native) اجرا می شود. بنابراین حتی در صورت غیرفعال بودن قابلیت Macro در نرم افزار، کد مخرب همچنان امکان اجرا دارد.

Office Powershell - Opening Attachment
Office Powershell - Excel downloader

بدافزار Dridex، معمولاً، فایل مخرب خود را با نامی تصادفی که با یکی از عبارت های edge یا edg آغاز می شود در یکی از مسیرهای زیر کپی می کند:

– [OS installed drive]\edge or edg[random.hex].exe
– [OS installed drive]\[username]\Appdata\local\edge or edg[random.hex].exe

بدافزار Dridex توسط ضدبدافزارهای McAfee و Bitdefender قابل شناسایی است.

فایل های مخرب مرتبط با این بدافزار با نام های زیر توسط ضدبدافزار McAfee تشخیص داده می شوند.

– Downloader-FASH!
– Packed-EF!
– PWS-FCCA!
– Downloader-FARL!
– Drixed-FAI
– Drixed-FAF
– Drixed-FAG
– Drixed-FAH

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *