آغاز مجدد فعالیت بدافزار دریدکس

به گزارش واحد امنیت سایبربان؛ دریدکس (Dridex) اولین بار در سال 2014 کشف و به عنوان جایگزینی برای بدافزار مخرب گیم اور زئوس (GameOverZeus) در نظر گرفته شد؛ زیرا از معماری همتا به همتای¹ (Peer to peer) بهبود یافته در زئوس برای محافظت از سرورهای فرماندهی و کنترل (C&C) را استفاده می‌کند. دریدکس به عنوان یکی از شایع‌ترین بدافزارهای بانکی شناخته شده محسوب می‌شود که فعالیت آن نسبت به سال‌های 2014 و 2015 کاهش یافته است.
شرکت امنیتی فلش پویت به تازگی هشدار داد بدافزار مذکور به کمک روشی جدید فعالیت خود را از سر گرفته است.
بر اساس آخرین مشاهدات انجام شده بدافزار دریدکس مؤسسات مالی انگلیس را هدف قرار داده است. این بدافزار «recdisc.exe» ویندوز –که برنامه‌ی پیش‌فرض بازیابی داده‌های حافظه‌ی ذخیره‌سازی است- را هدف قرار داده و آن را دور می‌زند. همچنین این تروجان بانکی می‌تواند کدهای مخرب را از طریق جعل هویت «²SPP.dll» و استفاده از «³svchost» و «⁴Spoolsrv» با همتای خود و لایه‌ی اول سرورهای کنترل و فرماندهی، ارتباط برقرار می‌کند.
دریدکس به مانند گذشته از طریق یک ایمیل اسپم که اسنادی آلوده به بدافزار در آن وجود دارد، ارسال شده و رایانه‌ی هدف را تصاحب می‌کند. بعد از دریافت اسناد مذکور نمونه‌ی اصلی دریدکس شروع به دانلود و بارگذاری کرده و بعد از آلوده کردن هدف، خود را به پوشه‌ی «%TEMP%» منتقل می‌کند.
ویتالی کرمز (Vitali Kremez) تحلیلگر اطلاعاتی ارشد فلش پویت گفت: «بعد از آلوده شدن به بدافزار، ماژول‌های دریدکس توکن گربر⁵ (Grabber) و وباینجکت⁶ (Webinject) به اپراتورهای جعلی این امکان را می‌دهد که به سرعت درخواست دریافت اطلاعات کنند. اطلاعاتی که برای تخریب چالش‌های اعتبارسنجی و صحت سنجی سامانه‌های ضد جعل در مؤسسات مالی ضروری است. اپراتورهای جعلی قادر به ایجاد یک پنجره‌ی سفارشی محاوره‌ای و با معرفی خود به عنوان درگاهی بانکی، شروع به کسب اطلاعات بیشتر از مشتری‌ها می‌کند.»
دریدکس با نفوذ به recdisc.exe که برنامه‌ی پیش‌فرض بازیابی داده است، SPP.dll را جعل و بخش محافظتی «UAC⁷» ویندوز 7 را دور می‌زند. این مشکل از آنجایی سرچشمه می‌گیرد که بستر مذکور به طور خودکار سطح برنامه و سایر برنامه‌هایی که در فهرست سفید قرار دارند را افزایش می‌دهد. دریدکس از این ویژگی به عنوان اهرمی برای اجرای دو فرمان در رایانه بهره می‌گیرد.
دریدکس برای دور زدن UAC، آدرس «Windows\System32\6886» را ایجاد و سپس کد باینری مشروع موجود در آدرس «Windows\System32\recdisc.exe» را در محل یاد شده کپی می‌کند. بعد از این کار خود را در محل «%APPDATA%\Local\Temp» که محل ذخیره‌ی فایل‌های temp است کپی کرده و به «Windows\System32\6886\SPP.dll» منتقل می‌کند. بعد از پایان مراحل مذکور، بدافزار مورد بحث تمام فایل‌هایی که با فرمت «wu*.exe» و «po*.dll» در محل «Windows\System32» قرار دارند را پاک می‌کند. این بدافزار در نهایت با اجرا کردن recdisc.exe خود را به عنوان یک SPP.dll با دسترسی‌های مدیریتی معرفی می‌کند.
محققان امنیتی متوجه شدند که تروجان بانکی یاد شده از طریق پورت‌های 4433-4431 همتا به همتا ارتباط برقرار می‌کند.

__________________________________

1- همتا به همتا نوعی معماری شبکه است که در آن یک رایانه به صورت هم‌زمان می‌توان نقش یک سرور یا مشتری را بازی کرده، اقدام به ارسال و دریافت اطلاعات بکند.
2- فایل «SPP.dll» اولین بار برای سیستم‌عامل ویندوز سرور کسب‌وکار کوچک 2011 (Windows Small Business Server 2011) توسعه داده شد.
3- فایل «svchost.exe»، در زمان آغاز اجرای ویندوز، قسمت سرویس رجیستری را چک می‌کند و فهرستی از سرویس‌هایی را که باید اجرا شوند را ایجاد می‌کند.
4- خدمات اسپولر (Spooler Service) مسئول مدیریت کارهای چاپی و فکس در ویندوز است. باید توجه داشت که فایل موجود در پوشه‌ی «System32» به عنوان ویروس، جاسوس‌افزار، تروجان و بدافزار شناخته شده و باید جلوی فعالیت آن گرفته شود.
5- فرم گربر نوعی بدافزار است که داده‌هایی مانند نام کاربری و رمز عبور را از طریق صفحات مرورگر وب جمع‌آوری می‌کند. هدف این بدافزار کاربران بانکداری اینترنت است.
6- وباینجکت یک ابزار رایگان برای آزمایش برنامه‌ها و خدمات تحت وب است. از این ابزار برای ایجاد آزمایش و جمع‌آوری داده‌های آن در زمان واقعی استفاده می‌شود. همچنین به کاربر اجازه می‌دهد از آن برای نظارت روی میزان زمان پاسخگویی درخواست‌ها استفاده شود.
7- User Account Control