A Dridex malware Trustwave által beazonosított támadásai makrókat használva banki ügyfeleket céloznak.
A folyamat a következő: az áldozat kap egy spam email-t egy Microsoft Word vagy Excel csatolmánnyal. A támadók valós intézmények nevét használva veszik rá a felhasználót, hogy nyissa meg a csatolmányt. A dokumentum megnyitásakor a Dridex nevű malware töltődik le a rendszerre (A Dridex a GameOver Zeus család tagja). Ahhoz hogy a fertőző dokumentum elérje a hatását, a felhasználónak engedélyeznie kell a makrók használatát.
A Microsoft jelentése szerint egy kiugrás volt megfigyelhető decemberben az ilyen típusú támadásokat illetően. Két makróval fertőző kártevőt azonosítottak be, a TrojanDownloader: W97M/Adnel-t és a TrojanDownloader:O97M/Tarbir-t. Ez a két downloader főként amerikai és angol Microsoft felhasználókat vesz célba a spamek küldésekor.
A Microsoft alapértelmezés szerint kikapcsolta a makrók használatát, de az új támadások arra utalnak, hogy a rosszindulatú felhasználók ‘social engineering’-el próbálják meg az áldozatot rávenni ennek engedélyezésére. Miután a fertőzés megtörtént és a Dridex működik, a fertőzött rendszer banki adatok lopására lesz alkalmas.
A Nemzeti Kibervédelmi Intézet munkatársai azt javasolják, hogy amennyiben gyanús tartalmú, ismeretlen feladótól érkező, mellékletet vagy linket tartalmazó e-mail üzenet érkezik, haladéktalanul töröljék azt, és értesítsék a rendszergazdát.
Hivatkozások:
http://www.securityweek.com/attackers-spread-dridex-banking-trojan-malicious-macros
http://threatpost.com/dridex-banking-trojan-spreading-via-office-macros/110255
http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=TrojanDownloader:W97M/Adnel
http://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=TrojanDownloader:O97M/Tarbir
