Trojan bancário ressurge em janeiro atacando via e-mail

CyberwarSegurança

A Palo Alto Networks emitiu um alerta para uma série de ataques que usaram o vírus Dridex Trojan – última versão do trojan Bugat/Feodo/Cridex, durante as duas primeiras semanas deste ano. A ameaça chega por e-mail e também utiliza comandos macros em documentos Microsoft Word. Foram descobertas novas invasões com de ataque a bancos que

A Palo Alto Networks emitiu um alerta para uma série de ataques que usaram o vírus Dridex Trojan – última versão do trojan Bugat/Feodo/Cridex, durante as duas primeiras semanas deste ano. A ameaça chega por e-mail e também utiliza comandos macros em documentos Microsoft Word.

trojan hack

Foram descobertas novas invasões com de ataque a bancos que visa roubar credenciais de websites de instituições financeiras online e permitir o uso criminoso dessas informações com objetivo de realizar transferência e furto de fundos.

O Dridex está sendo propagado por meio de uma campanha de e-mail que contém um documento de Word em anexo, que utiliza um código macro para baixar e executar uma cópia do vírus.

Segundo a Palo Alto Networks, o Dridex tem como alvo os bancos de todo o mundo, porém, em outubro, a maioria dos e-mails que a empresa rastreou foi destinada aos Estados Unidos e – na época – em menor volume ao Reino Unido. Desta vez, o Reino Unido tornou-se o principal alvo, pois mais de um terço dos ataques ocorreu lá.

Muitos dos nomes mais comuns referem-se ao BACS (Bankers’ Automated Clearing Services), que é utilizado para transferências no Reino Unido. Outro grupo de e-mails dizia ser uma nota fiscal do Les Mills, uma rede de academias. Esta campanha tinha o objetivo de atingir pessoas que se comprometeram a entrar em forma em 2015 na Grã-Bretanha.

Em outubro, a Palo Alto Networks identificou seis URLs usados pelos documentos de Word para baixar o Dridex Trojan. Nas últimas duas semanas, foram detectados arquivos utilizados em 43 diferentes localizações de download:

Muitas dessas URLs estão hospedadas em sites confiáveis, mas não há um padrão claro para indicar como elas estão tomando o controle de websites. Entretanto, existem agrupamentos de fácil identificação de padrões para o download de URLs. Um grupo se baseia no caminho “/js/bin.exe” e outro utiliza ““mops/pops.php”. Estas URLs estão codificadas com os macros incluídos em cada arquivo. Se você está interessado em extraí-las, o pesquisador Rodel Mendrez do SpiderLabs escreveu um guia rápido usando a linguagem Python.

A Palo Alto Networks recomenda desabilitar os macros no Microsoft Word. Os malwares baseados em conjunto de comandos macro têm circulado pelo mundo por mais de uma década. A maioria das organizações pode desabilitá-los como proteção, permitindo macros somente em arquivos confiáveis.


Clique para ler a bio do autor  Clique para fechar a bio do autor