Como escrevemos no mês passado, uma descoberta recente dos pesquisadores de segurança da Palo Alto Networks detectou que um malware, com o objetivo de roubar credenciais bancárias, informações e certificados, usado há muito tempo, foi ativado novamente. É uma modificação do Trojan Cridex, chamado Dridex, e está sendo instalado nas máquinas dos usuários quando eles abrem anexos infectados habilitados para macro de seus e-mails.
Dridex Malware tem como alvo contas bancárias
A nova versão do Dridex está tentando roubar dados quando você faz login em suas contas bancárias, adicionando campos extras no código HTML durante o processo de login, como seu número de segurança social, por exemplo. As informações bancárias são o objetivo habitual do Cridex e a nova modificação também é direcionada a ele.
A diferença é que o Dridex visa infectar sua máquina em primeiro lugar. Ele faz isso estando profundamente oculto em macros de arquivos infectados, disfarçados como documentos importantes como faturas, por exemplo, que você pode abrir da sua caixa de entrada de e-mail pensando que são importantes. Se as macros não estiverem habilitadas por padrão em seu computador, você está sendo solicitado a fazê-lo ao abrir esse arquivo prejudicial. Se eles estiverem ativados por padrão, o malware se instalará sem que os usuários percebam.
Dridex’ Macrotécnica desatualizada
A macrotécnica para ataques cibernéticos havia sido usada há uma década, mas desapareceu quando a Microsoft reforçou sua proteção de segurança, desabilitando-os por padrão. Alguns hackers estão tentando reviver essa prática embora.
Como dito acima, a maioria dos computadores possui macros desabilitadas por padrão. Contudo, se um usuário abrir um arquivo infectado de sua caixa de entrada, sugere que eles permitam a abertura de macros em suas máquinas. Se estiver fazendo isso, Malware Dridex começa a baixar automaticamente.
“A mudança para macros pode ser vista como uma maneira de garantir uma chance maior de ataques bem-sucedidos,” Rhena Inocêncio, um engenheiro de resposta a ameaças escreveu no blog de inteligência de segurança da TrendLabs hoje. “Se o recurso de macro já estava habilitado antes do ataque, o ataque começa sem quaisquer requisitos adicionais. De outra forma, o ataque deve usar uma forte isca de engenharia social para convencer o usuário a habilitar o recurso.”
Depois de instalado em uma máquina, o malware está sendo programado para ativar vendo o usuário entrar em uma conta bancária online. A lista de infectados dos bancos é bastante longa – Bank of Scotland, Lloyds Bank, Barclays, Banco Triodos, Banco Danske, Santander, etc.
Alertas de mensagens sobre o malware vieram principalmente do Vietnã, Índia, Taiwan, Coreia do Sul e China, mas os três principais países afetados são a Austrália, Reino Unido e EUA.
Um projeto de segurança online na Suíça, seguir os servidores de comando e controle de outros malwares direcionados ao sistema bancário incluiu o Dridex em sua lista agora também.
A melhor proteção para os usuários a partir de agora permanece desabilitando as macros em seus computadores e não abrindo documentos de fontes não confiáveis em suas máquinas.
