نسخه جدیدی از بدافزار بانکی Dridex در یک کاراز هرزنامهای کاربران را هدف قرار داده است.
Dridex بدافزاری بانکی است که مجوزهای دسترسی کاربر به سامانههای بانکداری الکترونیکی را زمانی که او به سایت بانک مراجعه مینماید، سرقت میکند.
به گزارش شرکت مهندسی شبکه گستر، هرزنامههای ارسال شده در این کارزار حاوی لینکی هستند که کلیک بر روی آن منجر به دریافت یک فایل DOC یا XLS بر روی دستگاه کاربر میشود.
بر خلاف کارزارها و هرزنامههای رایج لینک مذکور، نه مبتنی بر پودمان HTTP که لینکی FTP است. بکارگیری این پودمان از آن جهت حائز اهمیت است که در بسیاری از سازمانها، درخواستهای خروجی FTP توسط دیواره آتش مورد اعتماد تلقی شده و بنابراین شانس مسدود نشدن ارتباطی که لینک به آن اشاره میکند به مراتب بیشتر از لینکهای HTTP است.
در صورت اجرا شدن فایل DOC، با سوءاستفاده از قابلیت Dynamic Data Exchange – به اختصار DDE – در نرمافزار Word کد مخرب Dridex بر روی دستگاه دریافت و اجرا میشود.
فایل XLS نیز با بهرهجویی از قابلیت ماکرو در مجموعه نرمافزاری Office عملکردی مشابه را به اجرا در می آورد.
برخی منابع گرداننده این کارزار را شبکه مخرب Necurs اعلام کردهاند.
پیکربندی صحیح تنظیمات DDE و ماکرو در مجموعه نرم افزاری Office می تواند نقش مؤثری در مقابله با این کارزارها داشته باشد.
همچنین نمونه های بررسی شده در این خبر با نام های زیر قابل شناسایی هستند:
McAfee:
– RDN/Generic.grp
– RDN/Generic Downloader.x
Bitdefender:
– Trojan.GenericKD.12771865
– VB:Trojan.VBA.Agent.RT
– Trojan.Downloader.DDE.Gen.3