WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Trojan ngân hàng Dridex được phát tán qua email của Circor International
Trojan ngân hàng Dridex, biến thể của Cridex, vừa được phát tán thông qua email được gửi từ công ty Circor International.
Thông điệp trong email với nội dung gửi hóa đơn có định dạng Word và đính kèm kết quả scan giả từ hãng MessageLabs (thuộc Symantec) để lừa người dùng tin rằng file không chứa mã độc.
File Word bị chèn đoạn mã macro độc hại chỉ bị phát hiện bởi số ít các sản phẩm diệt virus, theo kết quả quét trên VirusTotal.
Nếu tính năng macro trong Word được kích hoạt (Microsoft đang tắt mặc định nhằm bảo vệ người dùng khỏi các nguy cơ bị tấn công), Trojan Dridex (bin.exe) sẽ được tải về từ “gloo.ng/js/”. Hiện tại, trang phát tán mã độc đang hiển thị lỗi 404.
Theo Longmore, Dridex được lưu vào một folder tạm “dsfsdf.exe”, khó bị phát hiện bởi các engine trên VirusTotal, với chỉ 3 trong 48 engine.
Khi nghiên cứu các máy chủ C&C (command and control), mã độc kết nối tới 2 địa chỉ IP, 1 với thiết bị thuộc Universidade De Sao Paulo tại Brazil và 1 với nhà cung cấp mạng SIA MWTV tại Latvia.
Dridex là trojan đánh cắp các thông tin ngân hàng khi nạn nhân đăng nhập vào tài khoản ngân hàng trực tuyến. Trojan trú ngụ tại hệ thống chờ đến khi một trong những website của các cơ quan tài chính mục tiêu được mở. Sau đó, mã độc chèn nội dung HTML vào trang yêu cầu nạn nhân cung cấp các thông tin bổ sung như mã an sinh xã hội, ngày hết hạn thẻ, mã số xác nhận giá trị thẻ (CVV).
Mã độc xuất hiện vào tháng 11/2014 và nhắm vào mục tiêu là khách hàng của các ngân hàng bao gồm ngân hàng Scotland, Lloyds, Danske, Barclays, Kasikorn, Santander, và ngân hàng Triodos. Các quốc gia bị ảnh hưởng nặng nhất tại thời điểm đó là Việt Nam, Ấn Độ, Đài Loan, Hàn Quốc và Trung Quốc.
Thông điệp trong email với nội dung gửi hóa đơn có định dạng Word và đính kèm kết quả scan giả từ hãng MessageLabs (thuộc Symantec) để lừa người dùng tin rằng file không chứa mã độc.
File Word bị chèn đoạn mã macro độc hại chỉ bị phát hiện bởi số ít các sản phẩm diệt virus, theo kết quả quét trên VirusTotal.
Nếu tính năng macro trong Word được kích hoạt (Microsoft đang tắt mặc định nhằm bảo vệ người dùng khỏi các nguy cơ bị tấn công), Trojan Dridex (bin.exe) sẽ được tải về từ “gloo.ng/js/”. Hiện tại, trang phát tán mã độc đang hiển thị lỗi 404.
Theo Longmore, Dridex được lưu vào một folder tạm “dsfsdf.exe”, khó bị phát hiện bởi các engine trên VirusTotal, với chỉ 3 trong 48 engine.
Khi nghiên cứu các máy chủ C&C (command and control), mã độc kết nối tới 2 địa chỉ IP, 1 với thiết bị thuộc Universidade De Sao Paulo tại Brazil và 1 với nhà cung cấp mạng SIA MWTV tại Latvia.
Dridex là trojan đánh cắp các thông tin ngân hàng khi nạn nhân đăng nhập vào tài khoản ngân hàng trực tuyến. Trojan trú ngụ tại hệ thống chờ đến khi một trong những website của các cơ quan tài chính mục tiêu được mở. Sau đó, mã độc chèn nội dung HTML vào trang yêu cầu nạn nhân cung cấp các thông tin bổ sung như mã an sinh xã hội, ngày hết hạn thẻ, mã số xác nhận giá trị thẻ (CVV).
Mã độc xuất hiện vào tháng 11/2014 và nhắm vào mục tiêu là khách hàng của các ngân hàng bao gồm ngân hàng Scotland, Lloyds, Danske, Barclays, Kasikorn, Santander, và ngân hàng Triodos. Các quốc gia bị ảnh hưởng nặng nhất tại thời điểm đó là Việt Nam, Ấn Độ, Đài Loan, Hàn Quốc và Trung Quốc.
Nguồn: Softpedia