Alguém sequestra Botnet Rede e Substitui Malware com um antivírus
Uma parte do Dridex Trojan bancário botnet pode ter sido cortado ou comprometido por um Hacker Whitehat desconhecida, que substituiu os links maliciosos com Avira Antivirus instaladores.
O que é Dridex Banking Trojan? Como funciona?
Dridex malwares - também conhecido como Bugat e Cridex - acredita-se ter sido criado por criminosos na Europa Oriental, em um esforço para colher detalhes bancários on-line. Mesmo depois de uma operação de remoção de alto perfil no final de 2015, a botnet Dridex parece ser ativo novamente.
O vírus Dridex normalmente distribui-se através de mensagens de spam ou e-mails que incluem anexos maliciosos, na maioria das vezes um arquivo do Microsoft Office ou documento do Word integrado com macros maliciosos.
Uma vez que o arquivo malicioso foi clicado, as macros baixar e instalar a principal carga do vírus - o programa trojan em si - a partir de um servidor sequestrado, que instala e é executado no computador da vítima.
O programa trojan Dridex seguida, cria um keylogger na máquina infectada e manipula sites bancários com a ajuda de redirecionamentos transparentes e web-injeta.
Isso resulta em roubar os dados pessoais da vítima, como nomes de usuários e senhas, com o intuito final de invadir contas bancárias e desviar dinheiro.
Hacker substitui Trojan com Anti-virus
No entanto, os últimos de hacker surpresas: Em vez de distribuir trojan bancário, uma parte da botnet Dridex atualmente parece estar se espalhando cópias legítimas do software anti-vírus gratuito da Avira, como a empresa anunciou em si.
"O conteúdo por trás do malware download [link] foi substituído, ele está fornecendo agora [a legítima], up-to-date instalador web Avira, em vez de o carregador Dridex costume", explicou malware especialista Moritz Kroll , relatou Reg.
Avira acredita que o hacker de chapéu branco ou hackers podem ter invadido uma porção de servidores web infectada, utilizando as mesmas falhas dos autores de malware utilizados e, em seguida, substituiu o código malicioso com o instalador Avira.
Assim, uma vez infectado, em vez de receber Dridex malware, as vítimas obter uma cópia válida, assinada do software antivírus Avira.
"Nós ainda não sabemos exatamente quem está fazendo isso com o nosso instalador e porquê - mas temos algumas teorias", disse Kroll. "Isto certamente não é algo que estamos fazendo a nós mesmos."
Embora os motivos por trás incluindo o software Avira ainda não está claro, esses tipos de ações são consideradas ilegais em muitos países, disse Kroll.
O que pode ser feito para proteger de ataques de malware?
A orientação para prevenir-se de ser uma parte da botnet Dridex Banking Trojan é:
- Verifique se você tem um programa antivírus atualizado em execução no seu PC, que deve ser capaz de interceptar os anexos maliciosos antes de serem abertos.
- Uma das melhores medidas para a proteção do seu ambiente on-line é para implantar umSistema de Detecção de Intrusão (IDS) na camada de rede, o que é especialmente útil para detectar rapidamente malware e outras ameaças em sua rede quando integrada com umainteligência de ameaças em tempo real e SIEM (inteligência de Segurança e Monitoramento de Eventos) solução, como AlienVault Gerenciamento Unificado de Segurança (USM).
- Tenha cuidado de abrir anexos de e-mail enviadas de um endereço de e-mail desconhecido, em particular (neste caso) os arquivos do Microsoft Word e Excel.
- Desativar macros no MS Office, ou pelo menos definir as macros para solicitar permissão antes de executar.
Nenhum comentário:
Postar um comentário