بد افزار Dridex بد افزاری است که اکنون چند سالی است که کشف شده و قرار نیست به این زودی ها هم خنثی شده و از کار بیفتد. بازوی تحقیقاتی آی بی ام یعنی IBM X-Force به تازگی متوجه شده اند که نسخه جدید و به روز شده از این بد افزار از یک حقه مربوط به DNS (Domain Name System) برای انتقال مشتریان به صفحات بانکی جعلی استفاده میکند.
این تکنیک که به عنوان DNS cache poisoning شناخته میشود، شامل تغییر تنظیمات DNS برای انتقال مشتری از صفحه قانونی و اصلی بانک به یک صفحه جعلی استفاده میکند. این تکنیک یک تکنیک تهاجمی جدید و قدرتمند است. به این شکل که حتی اگر شما آدرس بانک مربوطه را به درستی وارد کنید، بد افزار همچنان صفحه جدید را در مرورگر به شما نشان خواهد داد.
«لیمار کسم» - Limor Kessem – محقق امنیتی آی بی ام، در باره این بد افزار میگوید: Dridex با دور نگه داشتن مشتری از وب سایت اصلی بانک، وی را در معرض افشای اطلاعات قرار میدهد بدون آنکه بانک عامل متوجه شود که مشتری اطلاعات حساب خود را لو میدهد.
به نظر میرسد که طراحان Dridex در نسخه جدید این بد افزار از بد افزار دیگری به نام Dyre الهام گرفته باشند. اما با این تفاوت که Dyre از تغییر پراکسی محلی برای انتقال مشتری به وب سایت آلوده یا جعلی بهره میبرد.
تا کنونطراحان این بد افزار 13 وب سایت بانکی در انگلیس را برای این انتقال غیر مجاز شبیه سازی کرده اند و دقیقا مشخص نیست که چه تعداد بانک دیگر در سراسر دنیا به این شیوه مورد سوء استفاده قرار گرفته اند. به این ترتیب بعد از انتقال کاربران به وب سایت های جعلی Dridex اطلاعات حساب مشتریان و کدها لازم را دریافت کرده و به سرور Command-&-Control ارسال میکند. به این ترتیب هکرها با در اختیار گرفتن اطلاعات پول را از حساب مشتری به یک حساب ناشناخته منتقل میکنند.
این در حالی که تلاش های سال گذشته مقامات امنیتی و قضایی در آمریکا و انگلستان برای خنثی کردن تهدید این بد افزار نتیجه بخش نبوده است و اکنون نسخه دوم آن با قابلیت جدید رونمایی شده است!
در 13 اکتبر سال گذشته مقامات دیوان عدالت آمریکا اعلام کردند که در پی دستگیری و استرداد «آندری گینکول» از کشور مولداوی هستند که با استفاده از Dridex رقم 10 میلیون دلار را از حساب شرکت ها و نهاد های آمریکایی سرقت کرده است.
محققان امنیتی میگویند در همین ماه تعداد ایمیل ها و پیام های آلوده به این بد افزار کاهش یافت اما بعد از مدتی فعالیت آن از سر گرفته شد. این بد افزار از طریق یک فایل مستند مایکروسافت آفیس منتقل میشود.
