‘Dridex’ xuất hiện trong các cuộc tấn công macro Microsoft Word

Gần đây của phần mềm độc hại nhằm đánh cắp thông tin ngân hàng trực tuyến đang “hồi sinh” một kỹ thuật cũ  để tự cài đặt trên máy tính của bạn.

Dridex, phần mềm độc hại cố gắng đánh cắp dữ liệu của bạn khi bạn đăng nhập vào một tài khoản ngân hàng trực tuyến bằng cách tạo ra các trang HTML yêu cầu bạn nhập các thông tin cá nhân. Dridex là sự kế thừa của một phần tương tự là Cridex cũng nhắm đến tài khoản ngân hàng của người dùng.

Dridex cố gắng để lây nhiễm trên nhiều máy tính, nó phát tán dưới hình thức của một macro, che lấp trong một tài liệu Microsoft Word và phát tán qua một email spam.

Tội phạm mạng bắt đầu sử dụng các macro hơn một thập kỷ trước, nhưng sau đó không tiếp tục sử dụng nó sau khi Microsoft tăng cường bảo vệ an ninh. Nhưng một số tin tặc dường như lại đang cố gắng tiếp tục sử dụng chúng.

Hầu hết các máy tính cá nhân đều vô hiệu hóa các macro chạy mặc định. Nhưng nếu tập tin Word độc hại được mở ra, nó khuyến cáo người dùng cho phép macro và nếu họ thực hiện, Dridex bắt đầu tải xuống vào máy tính. “Việc chuyển sang sử dụng các macro có thể được xem như một cách để đảm bảo cơ hội thành công cao cho các cuộc tấn công”. Sau khi cài đặt trên một máy tính, phần mềm độc hại được lập trình để bắt đầu hành động khi một người truy cập một trong số danh sách dài của các ngân hàng, bao gồm Bank of Scotland, Lloyd’s Bank, Danske Bank, Barclays, Kasikorn Bank, Santander and Triodos.

Các tin nhắn rác chứa Dridex đến chủ yếu từ Việt Nam, Ấn Độ, Đài Loan, Hàn Quốc và Trung Quốc, trong khi ba quốc gia hàng đầu bị lây nhiễm là Úc, Anh và Mỹ.

Một dự án bảo mật máy tính Thụy Sĩ có nhiều năm theo dõi các máy chủ C&C đối với một số chương trình phần mềm độc hại ngân hàng nổi tiếng hơn như Zeus hiện cũng theo dõi các máy chủ C&C của Dridex.

Pcworld