先月書いたように, パロアルトネットワークスのセキュリティ研究者の最近の発見により、マルウェアが検出されました, 銀行の資格情報を盗むことを目指して, 情報と証明書, 昔使った, 再びアクティブになりました. これは、Cridexトロイの木馬の修正版です。, と呼ばれる Dridex, また、ユーザーが電子メールからマクロ対応の感染した添付ファイルを開くと、ユーザーのマシンにインストールされます。.
Dridexマルウェアが銀行口座を標的にする
新しいDridexバージョンは、銀行口座にログインするときに、たとえば社会保障番号などのログインプロセス中にHTMLコードにフィールドを追加することにより、データを盗もうとしています。. 銀行情報はCridexの通常の目的であり、新しい変更もそれを対象としています.
違いは、Dridexが最初にあなたのマシンに感染することを目指しているということです. それは、感染したファイルのマクロに深く隠されることによってそれを行います, 請求書などの重要な文書を装った, 例えば, それらが重要であると考えて、電子メールの受信トレイから開く可能性があります. コンピューターでマクロがデフォルトで有効になっていない場合, あなたはそのような有害なファイルを開くときにそうするように求められています. マルウェアはユーザーがまったく気付かないうちにインストールされますが、デフォルトで有効になっている場合.
Dridex’ 時代遅れのマクロテクニック
サイバー攻撃のマクロ手法は10年前に使用されていましたが、Microsoftがデフォルトで無効にすることでセキュリティ保護を強化したため、衰退しました。. 一部のハッカーはその慣習を復活させようとしていますが.
上記のように、ほとんどのコンピューターではデフォルトでマクロが無効になっています. でも, ユーザーが感染したファイルを受信トレイから開いた場合, 自分のマシンでマクロを開くことを許可することを提案します. そうする場合, Dridexマルウェアが自動的にダウンロードを開始します.
「マクロへの移行は、攻撃が成功する可能性を高める1つの方法と見なすことができます。,」RhenaInocencio, 脅威対応エンジニアが本日、TrendLabsセキュリティインテリジェンスブログに書き込みました. 「攻撃前にマクロ機能がすでに有効になっている場合, 攻撃は追加の要件なしで開始されます. さもないと, この機能を有効にするようにユーザーを説得するには、攻撃で強力なソーシャルエンジニアリングの誘惑を使用する必要があります。」
マシンにインストールした後, マルウェアは、ユーザーがオンライン銀行口座に入るのを見てアクティブ化するようにプログラムされています. 銀行の感染リストは非常に長い–スコットランド銀行, ロイズバンク, バークレイズ, トリオドス銀行, ダンスケ銀行, サンタンデール, 等.
マルウェアに関するメッセージアラートは主にベトナムから発信されました, インド, 台湾, 韓国と中国ですが、影響を受けることが知られている上位3か国はオーストラリアです, 英国と米国.
スイスのオンラインセキュリティプロジェクト, 銀行システムを標的とした他のマルウェアのコマンドアンドコントロールサーバーに続いて、Dridexもリストに含まれるようになりました.
現時点でのユーザーにとっての最善の保護は、コンピューター上のマクロを無効にし、信頼できないソースからのドキュメントをコンピューター上で開かないことです。.
