Μία νέα παραλλαγή του Dridex banking Trojan, έχει αποκτήσει την ικανότητα να αποφεύγει επιτυχώς την ανίχνευση από τα παραδοσιακά προϊόντα antivirus.
Το Dridex είναι ένα δημοφιλές banking Trojan, το οποίο εντοπίστηκε για πρώτη φορά το 2014 και ειδικεύεται στην κλοπή διαπιστευτηρίων online banking. Από τότε οι δημιουργοί του έχουν αποδειχτεί ιδιαίτερα δραστήριοι και συνεχώς εξελίσσουν τις δυνατότητες του κακόβουλου λογισμικού τους.
Τον Ιανουάριο του περασμένου έτους, ερευνητές από του Forcepoint διαπίστωσαν ότι το Dridex είχε επεκτείνει την αλυσίδα μόλυνσής του, στοχεύοντας τους χρήστες όχι μόνο μέσω εκστρατειών ηλεκτρονικού “ψαρέματος” (phishing) αλλά και μέσω κακόβουλων ιστοτόπων FTP.
Ο πρώτος που ανακάλυψε την τελευταία παραλλαγή του Trojan, ήταν ο ερευνητής Brad Duncan. Σύμφωνα με τον Duncan, το νέο στέλεχος του Trojan χρησιμοποιεί μια τεχνική της εφαρμογής Whitelisting, για να μπλοκάρει στοιχεία του Windows Script Host.
Το κακόβουλο λογισμικό χρησιμοποιεί XLS scripts για να παρακάμψει τις προσπάθειες εντοπισμού.
Το Dridex έχει επίσης αναβαθμίσει την υποδομή της βιβλιοθήκης του. Τα αρχεία DLL του Dridex είναι 64-bit DLL, με SHA256 hashes, που χρησιμοποιούν ονόματα αρχείων που φορτώνονται από νόμιμα εκτελέσιμα Windows. Ωστόσο, τα ονόματα αρχείων και τα hashes, ανανεώνονται και αλλάζουν κάθε φορά που ένα θύμα συνδέεται σε έναν μολυσμένο υπολογιστή Windows.
Σύμφωνα με την εταιρεία ασφαλείας eSentire, η βασική λειτουργικότητα του Dridex έχει λάβει επιπλέον αναβάθμιση. Η εταιρεία παρέχει πρόσθετες λεπτομέρειες σχετικά με το νέο στέλεχος.
Η δυνατότητα του κακόβουλου λογισμικού να αποφεύγει την ανίχνευση εγείρει πολλές ανησυχίες, ιδιαίτερα αν σκεφτούμε ότι το μεγαλύτερο μέρος των χρηστών χρησιμοποιεί τις παραδοσιακές μεθόδους και προϊόντα antivirus για να προστατεύσει τα συστήματά του.
Το θετικό ωστόσο είναι ότι τα προγράμματα antivirus έχουν αρχίσει να αναβαθμίζονται επίσης, περιλαμβάνοντας και το νέο στέλεχος του Dridex.
Φυσικά, οι εμπειρογνώμονες ασφαλείας θα πρέπει συνεχώς να επαγρυπνούν, καθώς είναι κάτι παραπάνω από σίγουρο, ότι οι δημιουργοί τέτοιου είδους κακόβουλων προγραμμάτων θα συνεχίσουν να κυκλοφορούν νέα, πιο εξελιγμένα στελέχη.
