Zeus, Cridex, Dridex sau Tinba v3, au fost cuvintele cele mai uzitate in ultima saptamana pe piata de IT, acolo unde specalistii au incercat sa contracareze atacurile informatice configurate special pentru bancile din Romania. Dupa ce saptamana trecuta IBM anunta ca Tinba ataca 12 banci din Romania si implicit clientii acestora, a venit atentionarea de la Bitdefender: clientii a doua banci autohtone sunt vizati de un nou mesaj spam. Mesajul spam este ” trimis” de catre Dridex, un nou troian bancar care fura datele de autentificare ale clientilor a doua banci romanesti.
ATENTIE! daca exista notificari ciudate – linkuri pe care le-ai accesat, ai impresia ca calculatorul tau a fost virusat, este important sa anunti banca la care au cont si sa-ti schimbi datele de autentificare!
Troianul Dridex este momentan configurat sa atace doua banci romanesti. Astfel, pentru a captura datele de autentificare, acesta foloseste diferite module: pentru banca care foloseste tastatura virtuala la introducerea parolei, troianul face capturi de ecran la fiecare click de mouse, iar pentru cealalta banca, Troianul foloseste un modul care injecteaza cod in pagina de autentificare.
„Virusul se propaga fie printr-un fisier executabil atasat la mesaje spam, fie prin link-uri care descarca automat virusul odata ce sunt accesate. Noua campanie foloseste fisiere Word si Excel care includ cod de tip macro. Acestea instaleaza un downloader generic pentru a descarca si executa Dridex. Mesajele par sa fie trimise, in perioada 10-17 august 2015, de la companii romanesti si pretind sa contina documente financiare importante pentru utilizator. Daca utilizatorul deschide fisierul Word si activeaza functionalitatea macro (dezactivata automat de programul Word pentru a evita riscurile de securitate), aplicatia Word va lansa automat procesul de descarcare a virusului. Troianul Dridex e un fisier DLL care se injecteaza in procesul explorer.exe, de unde va monitoriza activitatea bancara si de navigare a utilizatorului, indiferent de browserul folosit: Firefox, Google Chrome sau Internet Explorer”, noteaza Bitdefender.
Specialistii atrag atentia ca Dridex este greu de identificat pe un calculator deja infectat.
„Pentru a ramane nedepistat, virusul se adauga la programele care pornesc odata cu sistemul de operare doar inaintea inchiderii calculatorului. Dupa ce PC-ul este repornit, virusul se elimina din lista de programe ce pornesc automat, ceea ce il face aproape invizibil. In cazul unei pene de curent sau inchiderii bruste a calculatorului, virusul nu se va mai putea executa, deoarece nu se afla in lista de aplicatii care trebuie repornite”, precizeaza sursa citata.
Pentru a preveni infectia, Bitdefender le recomanda utilizatorilor sa foloseasca o solutie de securitate performanta si actualizata la zi si sa evite sa dea click pe linkuri provenite din emailuri de la expeditori necunoscuti. Daca suspecteaza ca sunt infectati, utilizatorii pot incerca apasarea butonul de restart pentru a opri derularea acestuia la repornirea PC-ului. De asemenea, este bine ca acestia sa notifice institutia bancara la care au cont si sa-si schimbe datele de autentificare in cel mai scurt timp posibil.
Potrivit specialistilor, Dridex este un virus relativ nou, evoluat din malware-ul Cridex, care, la randul sau, este succesorul cunoscutului troian Zeus.
