17/09/2018, 20:49

Trojan Dridex tấn ngân hàng phán tán thông qua Microsoft Word Macros

Một thay đổi trong phương pháp phát tán Trojan ngân hàng Dridex được quan sát thấy vào tuần trước, khi những kẻ tấn công dựa trên các tài liệu Microsoft Word với macro độc hại để tải phần mềm độc hại tới các máy tính mục tiêu. Dridex là liên kết phiên bản mới nhất của Trojan ...

Một thay đổi trong phương pháp phát tán Trojan ngân hàng Dridex được quan sát thấy vào tuần trước, khi những kẻ tấn công dựa trên các tài liệu Microsoft Word với macro độc hại để tải  phần mềm độc hại tới các máy tính mục tiêu.

rojan ngân hàng Dridex bị phán tán thông qua Microsoft Word Macros

Dridex là liên kết phiên bản mới nhất của Trojan Feodo/Bugat/Cridex phát triển thành Geodo. Nó duy trì khả năng đánh cắp thông tin của các phiên bản trước nó, nhưng thay đổi phương pháp dùng để xâm nhập vào máy tính, đó là gửi file thực thi đính kèm qua email.

Khách hàng của các ngân hàng Mỹ là mục tiêu chủ yếu

Trong tuần vừa qua, các nhà nghiên cứu an ninh tại Palo Alto Networks nhận thấy rằng những kẻ tấn công đã sử dụng các macro trong văn bản Word để phát tán các Trojan ngân hàng; các macro là các script với hướng dẫn được thiết kế để tự động hóa các nhiệm vụ lặp đi lặp lại.

Microsoft nhận ra nguy cơ từ việc lạm dụng các macro và đã vô hiệu hóa tính năng mặc định của chúng trong các thành phần của bộ ứng dụng văn phòng, nhưng chúng có thể được kích hoạt bởi người dùng bất cứ lúc nào để tăng cường năng suất.

Theo các nhà nghiên cứu, chiến dịch Dridex bắt đầu vào ngày 21 tháng 10, các tội phạm đứng sau nó gửi đi dựa trên các email tuyên bố phát tán một tài liệu hóa đơn từ các nhãn hiệu khác nhau, bao gồm cả nhóm Humber Merchant.

Có vẻ như Mỹ bị nhắm mục tiêu nhiều nhất, hơn một nửa số mẫu dẫn tới người nhận khu vực này, mặc dù mẫu của các email độc hại đã được ghi nhận ở các khu vực khác trên thế giới: Vương quốc Anh, Đài Loan, Hà Lan, Canada, Úc, Bỉ, Israel, Đức, Na Uy và Tây Ban Nha.

Ngay sau khi các tài liệu Word độc hại chạy, script đính kèm cùng với nó tải về các phần mềm độc hại từ một trang web bị xâm nhập và thực thi nó trên hệ thống; các biến thể khác nhau của Dridex được thêm vào máy tính bị lây nhiễm theo cách này, tất cả đều có cùng một mục đích: đánh cắp thông tin các nhân cho các trang web ngân hàng trực tuyến nhằm cho phép tội phạm mạng rút ruột tài khoản của nạn nhân.

Bảo vệ chống lại các Trojan ngân hàng Dridex có thể được thực hiện bằng cách vô hiệu hóa tính năng của các macro trong Microsoft Word, hoặc trong một phần khác của bộ ứng dụng Office, nếu tài liệu dành cho chương trình đó.

Softpedia

0