در حالی که تروجان بانکی Dridex از سال ۲۰۱۱ فعال بوده است، محققان در روزهای گذشته اظهار کردهاند که به تازگی ایمیلهای فیشینگی را مشاهده کردهاند که در آنها از نسخه تکامل یافته Dridex استفاده شده است. این نسخه جدید بدافزار Dridex، از امضای دیجیتال فایلهایی استفاده میکند که شناسایی آن برای آنتیویروسها دشوار بوده و در نهایت به بدافزار اجازه میدهد بدون شناسایی شدن وارد سیستم قربانی شود.
در همین رابطه جیآر دیپری، مدیر فنی رد تیم گفته است که از آنجایی که نرمافزارهای آنتیویروس هر روزه روشهای جدیدی را برای تکامل و شناسایی بدافزارها به کار میگیرند، مهاجمان نیز با بهروزرسانی ابزارهای خود برای دور زدن فرآیندهای امنیتی و حفاظتی تلاش میکنند. به گفته دیپری، با توجه به موفقیت بدافزار Dridex در حملات جدید خود، میتوان گفت که سازندگان آن به توسعه بیشتر و تکامل بخشیدن به این بدافزار ادامه خواهند داد.
اولین ظهور بدافزار Dridex به سال ۲۰۱۱ باز میگردد، اما این بدافزار در حدود یک دهه فعالیت خود دچار تغییر و تحولات زیادی شده است. محققان اظهار کردهاند که این بدافزار در هر نسخه جدید خود با رفع مشکلات قدیمی و ایجاد شیوهای جدید، لایههای حفاظتی و امنیتی را دور میزند.
اخیرا محققان کشف کردهاند که بدافزار Dridex از طریق ایمیلهایی که حاوی اسناد مخرب و ماکروهای جاسازی شده بودهاند به دست قربانیان رسیده است. این بدافزار پس از دانلود روی دستگاه قربانی سریعا اطلاعات بانکی را هدف قرار میدهد.
نسخه جدید بدافزار Dridex که از طریق ایمیلهای فیشینگ به دست قربانی میرسد نیز دارای چند تغییر کلیدی است که مهمترین آن، روشی است که هدف آن شناسایی نشدن توسط آنتیویروسها است. در همین رابطه جیآر دیپری گفت است که نرمافزارهای آنتیویروس، عمدتا برای شناسایی برنامههای مخرب به امضاهای دیجیتال فایلها تکیه میکنند. از همین رو، بدافزار Dridex از کتابخانههای امضا شده ۶۴ بیتی استفاده میکند که نسبت به نسخههای قبلی فایلها که قبلا توسط آنتی ویروسها شناخته میشدند، امضاهای متفاوتی دارند.
براساس اطلاعات موجود، ظاهرا این قابلیت جدید موثر واقع شده و تاکنون تنها ۱۹ نرمافزار آنتی ویروس از بین تقریبا ۶۰ نرمافزار، این عمل Dridex را تشخیص دادهاند.
توضیحات بیشتر:
- New Dridex Variant Slips By Anti-Virus Detection