تلاش‌های سازندگان بدافزار Dridex در نسخه جدید برای غیرقابل شناسایی شدن توسط آنتی ویروس‌ها

محققان به تازگی نسخه‌ای از تروجان بانکی Dridex را شناسایی کرده‌اند که از قابلیت‌های جدیدی برخوردار است که می‌تواند با استفاده از آن، فرآیندهای حفاظتی در نرم‌افزارهای امنیتی، مانند آنتی‌ویروس‌ها را دور بزند. بدافزار Dridex با هدف سرقت اطلاعات بانکی در سال ۲۰۱۱ ایجاد شده و تا به امروز فعال بوده است.

در حالی که تروجان بانکی Dridex از سال ۲۰۱۱ فعال بوده است، محققان در روزهای گذشته اظهار کرده‌اند که به تازگی ایمیل‌های فیشینگی را مشاهده کرده‌اند که در آن‌ها از نسخه تکامل یافته Dridex استفاده شده است. این نسخه جدید بدافزار Dridex، از امضای دیجیتال فایل‌هایی استفاده می‌کند که شناسایی آن برای آنتی‌ویروس‌ها دشوار بوده و در نهایت به بدافزار اجازه می‌دهد بدون شناسایی شدن وارد سیستم قربانی شود.

در همین رابطه جی‌آر دیپری، مدیر فنی رد تیم گفته است که از آنجایی که نرم‌افزار‌های آنتی‌ویروس هر روزه روش‌های جدیدی را برای تکامل و شناسایی بدافزار‌ها به کار می‌گیرند، مهاجمان نیز با به‌‌روزرسانی ابزار‌های خود برای دور زدن فرآیندهای امنیتی و حفاظتی تلاش می‌کنند. به گفته دیپری، با توجه به موفقیت بدافزار Dridex در حملات جدید خود، می‌توان گفت که سازندگان آن به توسعه بیشتر و تکامل بخشیدن به این بدافزار ادامه خواهند داد.

اولین ظهور بدافزار Dridex به سال ۲۰۱۱ باز می‌گردد، اما این بدافزار در حدود یک دهه فعالیت خود دچار تغییر و تحولات زیادی شده است. محققان اظهار کرده‌اند که این بدافزار در هر نسخه جدید خود با رفع مشکلات قدیمی و ایجاد شیوه‌ای جدید، لایه‌های حفاظتی و امنیتی را دور می‌زند.

اخیرا محققان کشف کرده‌اند که بدافزار Dridex از طریق ایمیل‌هایی که حاوی اسناد مخرب و ماکرو‌های جاسازی شده بوده‌اند به دست قربانیان رسیده است. این بدافزار پس از دانلود روی دستگاه قربانی سریعا اطلاعات بانکی را هدف قرار می‌دهد.

نسخه جدید بدافزار Dridex که از طریق ایمیل‌های فیشینگ به دست قربانی می‌رسد نیز دارای چند تغییر کلیدی است که مهم‌ترین آن، روشی است که هدف آن شناسایی نشدن توسط آنتی‌ویروس‌ها است. در همین رابطه جی‌آر دیپری گفت است که نرم‌افزارهای آنتی‌ویروس، عمدتا برای شناسایی برنامه‌های مخرب به امضاهای دیجیتال فایل‌ها تکیه می‌کنند. از همین رو، بدافزار Dridex از کتابخانه‌های امضا شده ۶۴ بیتی استفاده می‌کند که نسبت به نسخه‌های قبلی فایل‌ها که قبلا توسط آنتی ویروس‌ها شناخته می‌شدند، امضاهای متفاوتی دارند.

براساس اطلاعات موجود، ظاهرا این قابلیت جدید موثر واقع شده و تاکنون تنها ۱۹ نرم‌افزار آنتی ویروس از بین تقریبا ۶۰ نرم‌افزار، این عمل Dridex را تشخیص داده‌اند.

 

 

توضیحات بیشتر:

New Dridex Variant Slips By Anti-Virus Detection