محققان امنیتی فلشپوینت میگویند در پویش جدید بدافزار Dridex روشی تازه برای دور زدن کنترل حساب کاربری (UAC) مشاهده شدهاست.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار Dridex که اولینبار در سال ۲۰۱۴ کشفشده بهنوعی جانشین بدافزار GameOver ZeuS محسوب میشود. این بدافزار از معماری نظیربهنظیر برای محافظت از کارگزارهای دستور و کنترل خود استفاده میکند. در ابتدای امر، فعالیت بدافزار Dridex در حوزه تروجانهای بانکی بود و سطح فعالیت این بدافزار نسبت به سالهای ۲۰۱۴ و ۲۰۱۵ بسیار فروکش کردهاست.
در پویش کوچکی که اخیراً از این بدافزار مشاهده شد و مؤسسات مالی انگلستان را هدف قرار داده از روش جدیدی برای دور زدن کنترل حساب کاربری استفاده میشود. در این روش دور زدن از یک پرونده پیشفرض در ویندوز برای بازیابی دیسک با نام recdisc.exe استفاده میشود. همچنین مشاهده شد که این بدافزار با SPP.dll جعلی، کدهای مخرب دیگری را بارگذاری میکند و با استفاده از svchost و spoolsrv با نظیرهای دیگر و کارگزارهای دستور و کنترل لایه اول ارتباط برقرار میکند.
طبق معمول، بدافزار Dridex از طریق هرزنامه همراه ضمیمههای Word توزیع میشود. در این اسناد Word از ماکروهای مخربی استفاده شد که برای بارگیری و نصب بدافزار مورد استفاده قرار میگیرد. ماژول ابتدایی که توسط اسناد Word در سامانه کاربر قرار میگیرد، صرفاً یک نصبکننده است که برای بارگیری بار داده Dridex استفاده میشود. پس از آلوده شدن رایانه قربانی، بدافزار از مکان جاری به داخل پوشه موقتی منتقل میشود.
کارشناسان فلشپوینت توضیح دادند: «پس از آلودگی به بدافزار، ماژولهای دستیابی به توکن و webinject به مهاجمان اجازه میدهد تا بهسرعت برای بهدست آوردن اطلاعات بیشتر، درخواست بدهند. این اطلاعات برای احراز هویت subvert و هر سامانه ضدکلاهبرداری در مؤسسات مالی مورد نیاز است. مهاجمان میتوانند یک دیالوگ ویندوزی ویژه ایجاد کنند و از کاربر اطلاعات بیشتری را ازجمله اطلاعات بانکی درخواست کنند.»
بر روی ماشین آلوده، بدافزار Dridex از پرونده اجرایی و پیشفرض برای بازیابی دیسک با نام recdisc.exe استفاده میکند تا یک SPP.dll جعلی را بارگذاری کرده و در ویندوز ۷، ویژگی کنترل حساب کاربری را دور بزند. این دور زدن باعث میشود بهطور خودکار، امتیازات برنامه ارتقا پیدا کند. بدافزار Dridex از این ویژگی برای اجرای دو دستور روی رایانه قربانی استفاده میکند.
برای دور زدن کنترل حساب کاربری، بدافزار یک پوشه در مسیر Windows\System۳۲\۶۸۸۶ ایجاد میکند. در ادامه، پروندههای قانونی را از مسیر Windows\System۳۲\recdisc.exe به Windows\System۳۲\۶۸۸۶\ رونویسی میکند. بدافزار، سپس خودش را به عنوان پرونده موقتی در %APPDATA%\Local\Temp رونویسی و به Windows\System۳۲\۶۸۸۶\SPP.dll منتقل میکند. در ادامه نیز بدافزار، wu*.exe و po*.dll را از پوشه Windows\System۳۲ حذف کرده و recdisc.exe را اجرا میکند و در نهایت خودش را با امتیازات ویژه بهعنوان SPP.dll جعلی بارگذاری میکند.
محققان امنیتی همچنین کشف کردند این تروجان بانکی با نظیرهای خود روی درگاههای ۴۴۳۱-۴۴۳۳ ارتباط برقرار میکند. در این پویش ویژه، نظیرها ماشینهای دیگری هستند که آنها نیز آلوده به بدافزار Dridex شدهاند.