تروجان بانکی Dridex جان دوباره می‌گیرد

محققان امنیتی فلش‌پوینت می‌گویند در پویش جدید بدافزار Dridex روشی تازه برای دور زدن کنترل حساب کاربری (UAC) مشاهده شده‌است.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار Dridex که اولین‌بار در سال ۲۰۱۴ کشف‌شده به‌نوعی جانشین بدافزار GameOver ZeuS محسوب می‌شود. این بدافزار از معماری نظیر‌به‌نظیر برای محافظت از کارگزارهای دستور و کنترل خود استفاده می‌کند. در ابتدای امر، فعالیت بدافزار Dridex در حوزه‌ تروجان‌های بانکی بود و سطح فعالیت این بدافزار نسبت به سال‌های ۲۰۱۴ و ۲۰۱۵ بسیار فروکش کرده‌است.

در پویش کوچکی که اخیراً از این بدافزار مشاهده شد و مؤسسات مالی انگلستان را هدف قرار داده‌ از روش جدیدی برای دور زدن کنترل حساب کاربری استفاده می‌شود. در این روش دور زدن از یک پرونده‌ پیش‌فرض در ویندوز برای بازیابی دیسک با نام recdisc.exe استفاده می‌شود. همچنین مشاهده شد که این بدافزار با SPP.dll جعلی، کدهای مخرب دیگری را بارگذاری می‌کند و با استفاده از svchost و spoolsrv با نظیرهای دیگر و کارگزارهای دستور و کنترل لایه‌ اول ارتباط برقرار می‌کند.

طبق معمول، بدافزار Dridex از طریق هرزنامه همراه ضمیمه‌های Word توزیع می‌شود. در این اسناد Word از ماکروهای مخربی استفاده شد که برای بارگیری و نصب بدافزار مورد استفاده قرار می‌گیرد. ماژول ابتدایی که توسط اسناد Word در سامانه‌ کاربر قرار می‌گیرد، صرفاً یک نصب‌کننده است که برای بارگیری بار داده‌ Dridex استفاده می‌شود. پس از آلوده شدن رایانه‌ قربانی، بدافزار از مکان جاری به داخل پوشه‌ موقتی منتقل می‌شود.

کارشناسان فلش‌پوینت توضیح دادند: «پس از آلودگی به بدافزار، ماژول‌های دستیابی به توکن و webinject به مهاجمان اجازه می‌دهد تا به‌سرعت برای به‌دست آوردن اطلاعات بیشتر، درخواست بدهند. این اطلاعات برای احراز هویت subvert و هر سامانه‌ ضدکلا‌هبرداری در مؤسسات مالی مورد نیاز است. مهاجمان می‌توانند یک دیالوگ ویندوزی ویژه ایجاد کنند و از کاربر اطلاعات بیشتری را ازجمله اطلاعات بانکی درخواست کنند.»

بر روی ماشین آلوده، بدافزار Dridex از پرونده‌ اجرایی و پیش‌فرض برای بازیابی دیسک با نام recdisc.exe استفاده می‌کند تا یک SPP.dll جعلی را بارگذاری کرده و در ویندوز ۷، ویژگی کنترل حساب کاربری را دور بزند. این دور زدن باعث می‌شود به‌طور خودکار، امتیازات برنامه ارتقا پیدا کند. بدافزار Dridex از این ویژگی برای اجرای دو دستور روی رایانه‌ قربانی استفاده می‌کند.

برای دور زدن کنترل حساب کاربری، بدافزار یک پوشه در مسیر Windows\System۳۲\۶۸۸۶ ایجاد می‌کند. در ادامه، پرونده‌های قانونی را از مسیر Windows\System۳۲\recdisc.exe به Windows\System۳۲\۶۸۸۶\ رونویسی می‌کند. بدافزار، سپس خودش را به عنوان پرونده‌ موقتی در %APPDATA%\Local\Temp رونویسی و به Windows\System۳۲\۶۸۸۶\SPP.dll منتقل می‌کند. در ادامه نیز بدافزار، wu*.exe و po*.dll را از پوشه‌ Windows\System۳۲ حذف کرده و recdisc.exe را اجرا می‌کند و در نهایت خودش را با امتیازات ویژه به‌عنوان SPP.dll جعلی بارگذاری می‌کند.

محققان امنیتی همچنین کشف کردند این تروجان بانکی با نظیرهای خود روی درگاه‌های ۴۴۳۱-۴۴۳۳ ارتباط برقرار می‌کند. در این پویش ویژه، نظیرها ماشین‌های دیگری هستند که آنها نیز آلوده به بدافزار Dridex شده‌اند.