Trojan Bancário Dridex Continua Ativo Mesmo Após Danos à Infraestrutura

O temido e conhecido trojan bancário Dridex ainda está em atividade, apesar de prisões efetuadas e danos causados ​​à infra-estrutura da referida ameaça. Nesse contexto, a empresa de proteção contra ameaças Invincea, tendo à frente os seus profissionais da área de segurança, relatou a existência de uma nova campanha maliciosa dirigida aos usuários na França, e os especialistas advertem que os Estados Unidos e outros países podem ser alvo dessas investidas nefastas. Os atacantes usaram documentos que continham macros maliciosos, que eles anexaram a e-mails de phishing para entregar o malware. O malware, a partir de um endpoint utilizando uma técnica apelidada pela equipe da Invincea de "Just-in-Time (JIT) Malware Assembly", é assinado com um certificado emitido pela Comodo.


O uso de macros, código assinado e a técnica de JIT Assembly, conta com ferramentas legítimas para unir vários trechos do código de malware, e dessa forma, permitem que a ameaça possa evitar a detecção, o que resulta em altas taxas de infecção. A variante Dridex foi descoberta nos ataques contra utilizadores franceses e só foi detectada por quatro soluções antivírus. Em face disso, é possível perceber que a praga é persistente pois consegue dar bypass em algumas soluções que poderiam detectá-la e identificá-la. Vale lembrar que em meados de outubro, as autoridades de aplicação da lei nos EUA e na Europa anunciaram que um operador da botnet Dridex, um moldavo de 30 anos de idade chamado Andrey Ghinkul foi preso em agosto, e que os servidores usados ​​pela botnet foram apreendidos. No entanto, logo após o anúncio ter sido feito, várias empresas de segurança revelaram que Dridex continuava em atividade.


Saiba Mais:

[1] Security Week http://www.securityweek.com/dridex-b...s-users-france