Trojan Dridex Banking phát tán qua macro trong file XML

Không lâu trước đây, tin tặc đã tung ra loại trojan đánh cắp dữ liệu ngân hàng Dridex thông qua tài liệu Microsoft Excel với macro độc hại, lừa nạn nhân tải malware về máy. Mặc dù macro thường được vô hiệu hóa bởi hầu hết các tổ chức nhưng tin tặc vẫn sử dụng nó, và hiện tại thông qua file XML để phát tán.

Các nhà nghiên cứu tại Trustware đã quan sát trong vài ngày gần đây hàng trăm thư email được phát tán cố gắng khai thác người dùng tin tưởng bộ công cụ Office. Chúng cố gắng thuyết phục người dùng bật tính năng macro và sau đó sẽ lợi dụng để tải malware về máy tính của họ.

File XML thường được sử dụng trong các giấy báo chuyển tiền hoặc thông báo thanh toán khiến người dùng tưởng rằng đó là file văn bản đơn thuần. “XML file là một định dạng nhị phân cũ dành cho tài liệu Office, khi bạn nháy đúp vào chúng, file đi kèm với Microsoft Word và mở ra” – Karl Sigler, quản lí của Trustware cho biết. Macro độc hại được nén và mã hóa Base64 nhằm vượt qua các công nghệ phát hiện. Tin tặc cũng tạo ra những hướng dẫn dành cho người dùng cách bật tính năng macro và nhấn mạnh macro phải được bật vì lí do liên quan đến bảo mật.

Nếu người dùng thực hiện đúng bước và khởi chạy malware, Dridex vận hành giống hầu hết các trojan ngân hàng. Nó chờ người dùng truy cập vào các trang ngân hàng trực tuyến và lây nhiễm mã độc nhằm lấy cắp thông tin tài khoản.

Dridex là một biến thể của Cridex và họ hàng với GameOver Zeus. GameOver Zeus đã được sử dụng nhiều năm đem lại lợi nhuận lớn cho tin tặc. Nó sử dụng mạng ngang hàng peer-to-peer để phát tán và gửi thông tin đánh cắp được mà không cần sử dụng máy chủ command-and-control. P2P và thuật toán tạo tên miền khiến mạng lưới botnet rất khó bị đánh sập và kéo dài vòng đời của malware. Chiến dịch Dridex mới đây nhắm vào khách hàng ngân hàng Anh với việc gửi tin nhắn rác mạo danh các công ty nổi tiếng đang hoạt động tại Anh.

threatpost