تروجان Dridex بعد از دو ماه توقف در فعالیت بار دیگر شروع به حملات خرابکارانه در فضای وب کردهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان حوزه امنیت در شرکت Proofpoint اعلام کردند که تروجان Dridex، یکی از پرکارترین تروجانهای حوزه رایانه در سالهای اخیر بوده است، پس از حدود دو ماه وقفه بهتازگی فعالیتهای مخرب خود را از سر گرفتهاست.
طراحان این تروجان پیش از این در ابتدای سال جاری فعالیتهای خود را با پخش باجافزار Locky در فضاهای اینترنتی آغاز کردند و فعالیتهای کمی نیز در ماه ژوئن درخصوص تروجان Dridex داشتند.
آنها این تروجان را تنها در قالب هزار پیام پخش کردند و در همین حال پویشهای پخش باجافزار Locky اقدامات گستردهای داشتند؛ اما محققان بهتازگی متوجه افزایش میزان پخش تروجان Dridex شدهاند و بنا به اعتقاد محققان، این افزایش میتواند حاکی از شروع فعالیتهای گستردهتر این تروجان باشد.
بنا به گزارشهای شرکت Proofpoint، پویشهای جدید خرابکاری که در گذشته تعداد پیامهای مخرب ارسالی آنها به میلیونها پیام میرسید در دوره جدید اقدامات خود تنها به ۱۰ها هزار پیام مخرب بسنده کردهاند.
این گزارشها همچنین نشان میدهد که بیشترین پخش این بدافزارها در ابتدای هفته گذشته انجام شده و بیشتر این حملات علیه سازمانهای ساخت و تولید و خدمات مالی صورت گرفتهاست.
این شرکت امنیتی همچنین اعلام کرد که پویشهای مشاهدهشده در فضای اینترنتی از ماه ژوئن در کشور سوئیس فعالیتهای گستردهای داشتهاند. این شرکت همچنین اعلام کرد که باتنتهای متعددی مانند باتنتهای Dridex ۱۱۲۴، ۱۴۴، ۱۰۲۴، ۱۲۴ و ۳۸۹۲۳ در این حملات مورد استفاده قرار گرفتهاند.
شرکت Proofpoint در ادامه یافتههای خود اعلام کردهاست که کشورهای انگلستان، استرالیا و فرانسه از دیگر کشورهای مقصد این عوامل خرابکاری بودهاند. یکی از جدیدترین پویشهای مشاهدهشده در تاریخ ۱۵ و ۱۶ آگوست، پویشی بودهاست که از Dridex botnet ID ۲۲۸ استفاده کردهاست که تعداد پیام بیشتری را برای پخش تروجان ارسال میکند.
این باتنت دارای تنظیماتی برای وبسایتهای بانکی در انگلستان، استرالیا، فرانسه و آمریکا است و همچنین پیامهای رایانامهای مورداستفاده در این حملات دارای پروندههای ضمیمه ورد با فرمت DOCM بودهاست که در حقیقت دارای پروندههای ماکرو مخرب بودهاست. استفاده از این نوع از پروندهها در پویشهای باجافزار Locky نیز مرسوم است. باید توجه داشت که این باجافزار پس از استفاده از روشهای مختلف برای پخش بدافزارها در ماههای گذشته، جدیداً به پروندههای ماکرو روی آوردهاست.
محققان شرکت Proofpoint در تحقیقات خود دریافتند که نمونه تروجان Dridex مشاهدهشده در پویش یادشده بخشهای مختلفی مانند انتقال و پردازش پرداخت انتهایی، پایانههای فروش و برنامههای مدیریت از راه دور را مورد حمله قرار میدهد.
تروجان Dridex همچنین پیش از این برنامههای مختلفی را مورد حمله قرار دادهاست، اما بنا به یافتههای محققان، دامنه فعالیت و حملات این تروجان از ماه آگوست بسیار گستردهتر شده است. همچنین یک پویش دیگر مربوط به تروجان Dridex در تاریخ ۱۱ آگوست شناسایی شد که از پروندههای ضمیمه DOCM برای پخش بدافزارها استفاده میکردهاست و با بارگیری و نصب botnet ID ۱۴۴ به وبسایتهای بانکی ازجمله بانکهای سوئیسی حمله کردهاست. پیامها و پروندههای ضمیمه مورداستفاده این پویش به زبان آلمانی نگارش شدهاند که یکی از زبانهای اصلی در سوئیس است.
محققان همچنین در ادامه تحقیقات خود در اواسط ماه جولای یک پویش دیگر مربوط به تروجان Dridex را مشاهده کردند که با دریافت و نصب botnet ID ۱۲۴ اقدامات مخرب خود را شروع میکند. این پویش از پروندههای مخرب ورد استفاده میکند و متون اصلی آن و همچنین نام پروندههای ضمیمه و پیامها در آن به زبان آلمانی نگارش میشوند. نظیر همین ویژگیها در یک حمله در ماه ژوئن مشاهده شد که با استفاده از Dridex botnet ID ۳۸۹۲۳ انجامشده و چندین وبسایت بانکی مانند چند بانک سوئیسی را مورد حمله قرار داد.
محققان شرکت Proofpoint همچنین دریافتند که بخشهای عملیاتی تروجان Dridex علاوهبر استفاده از رایانامههای مخرب با استفاده از کیتهای بهرهبرداری عوامل بدافزاری خود را پخش میکنند.
محققان امنیتی در تاریخ ۹ آگوست مشاهده کردند که کیت بهرهبرداری Neutrino که درحالحاضر بیشترین مورد استفاده را دارد در حملات تروجان Dridex botnet ID ۱۰۲۴ در سوئیس و انگلستان مورد استفاده قرار گرفتهاست.
شرکت Proofpoint طی اطلاعیهای در این خصوص اعلام کرد: «تغییر روش جدید در تروجان Dridex در نحوه پخش خود و همچنین قابلیتهای جدید مشاهدهشده در آن نشان میدهد که این تروجان وارد دوره جدیدی از فعالیتهای خود شدهاست و در همین حال پویشهای گسترده در تلاشاند بار دیگر باجافزار Locky و بار داده مربوط به آن را پخش کنند. طراحان تروجان Dridex علیرغم استفاده از این پویشهای گسترده و حمله به کشورهای مختلف، هنوز هم بهدنبال کسب پول بیشتر از این طریق و حمله به برخی سازمانهای بزرگ و بخشهای خدمات مالی هستند.»