Októberben mondhatni példátlanul széles körű összefogással (felvonult az FBI, a European Cybercrime Centre, a Fox-IT, a Spamhaus, a Shadowserver Foundation és a Trend Micro is) sikerült legyőzni a Dridex banki trójait. Aztán most kiderült: korai volt az öröm. A botnetet építő károkozó ugyanis visszatért, és erősebb, mint valaha – írta a Biztonságportál.

A legveszélyesebbek között jegyezték

Nem véletlenül nevezte a Dridexet a Cisco a nyári biztonsági jelentésében az egyik legveszélyesebb károkozónak. A már 2014-ben is súlyos károkat okozó trójai. A Cisco főleg amiatt tartotta rendkívül veszélyesnek, mert ügyesen ötvözték a támadási lehetőségeit például a spamek, a Microsoft Office makrók nyújtotta lehetőségekkel.

A szakértők a web injection technika segítségével fertőző modulját tartották a legfejlettebnek, amely képes volt manipulálni a fertőzött számítógépeken megjelenő weboldalakat: például űrlapokat szúrt be banki weblapokba, hogy a felhasználók azon adják meg a hitelesítő adataikat. A hamis formok természetesen a támadóknak küldték az érzékeny adatokat.

Úgy tűnik, az októberi akciónál nem sikerült teljes egészében felszámolni a Dridex építette botnetet, ami így képes volt regenerálódni. Valószínűleg ebben a Dridex botnet hibrid megközelítése is segített.

Elosztott rendszerrel operál

A trójai által kialakított botnetnek ugyanis nem csak központi szerverei vannak, hanem peer-to-peer hálózatot is épít. Így azonban hiába iktatják ki a központi szervereket, az elosztott rendszerek logikája szerint a botnet vidáman működik tovább. És mint az a napokban kiderült, a Dridex esetében  is ez történt. (Paradox módon októberben a Dell SecureWorks kutatói éppen ezt a hibrid felépítést emelték ki mint gyenge pontot, ahol támadást lehetett intézni a káokozó ellen.)

Jelenleg főként az USA, az Egyesült Királyság és Franciaország számít a legveszélyeztetettebbnek, de a Trend Micro szerint világszerte terjed, azaz bárhol felbukkanhat. Az ESET már regisztrált is spanyolországi és szlovákiai incidenseket.

A Dridex olyan, jellemzően angol nyelvű spamekben terjed, amelyekben Word vagy Excel csatolmányok vannak. A levelek azt állítják, hogy a csatolmányok pénzügyi dokumentumok. Itt még szükség van a felhasználó beavatkozására, mert az állományok megnyitáskor kérik a makrók futtatásának engedélyezését. Ha ezt megkapják, a számítógépe megfertőződik, és egyben része lesz a Dridex botnetnek.

Eddig tíznél is több változatban bukkantak fel a spamek, és a vírusvédelmi cégek egyre több fertőzést regisztrálnak. Pedig aranyszabály, hogy – naprakész víruskereső mellett is – makró futását csak akkor szabad engedélyezni, ha száz százalékig biztosak vagyunk abban, hogy a dokumentum megbízható forrásból származik.