O Trojan Bancário Dridex está de Olho nas Suas Carteiras de Moeda Digital
Índice
Amostras Recentes do Dridex Sugerem a Possibilidade de Roubo de Credenciais de Carteira de Criptomoedas
O Trojan bancário Dridex, descendente direto do malware bancário Cridex, parece que demorará mais um pouco. Os últimos esforços dos pesquisadores de segurança da Forcepoint, que analisaram amostras recentes do código Dridex, indicam que pode haver algumas mudanças importantes no Dridex no futuro.
O Dridex era inicialmente um Trojan bancário que rouba informações, incluindo detalhes de login, por injeção de HTML. É uma operação em grande escala e não apenas um Trojan aleatório codificado por um cara em seu porão. O Dridex é um grande esforço coordenado conduzido por criminosos cibernéticos que atualizam e desenvolvem continuamente recursos extras em um esforço para ficar à frente dos pesquisadores de segurança.
O Dridex Adiciona uma Nova Camada para Iludir os Pesquisadores de Segurança
A análise mais recente das amostras Dridex aponta para alterações de código em um nível baixo, em um esforço contínuo para evitar pesquisadores de segurança e suítes de software. Uma das principais mudanças é a maneira como as novas iterações da Dridex transmitem seu arquivo de configuração. Anteriormente, isso era feito usando XML de texto não criptografado (ou não criptografado). Agora, o Dridex usa um binário criptografado, o que não torna a ameaça mais difícil de quebrar, mas também significa que o Dridex pode colocar na lista negra seletivamente certos hosts.
O método de operação utilizado pela Dridex inclui um módulo chamado carregador. O carregador é o primeiro componente do Trojan, que coleta as informações sobre o host e as transmite aos servidores Dridex. Os dados coletados incluem o tipo de sistema operacional, versão do sistema operacional, data de instalação e uma lista completa do software instalado. Usando essas informações, o Trojan pode escolher máquinas que são VMs de pesquisadores de segurança ou sistemas carregados com software relacionado à segurança e depois colocá-las na lista negra. Depois que um host é colocado na lista negra, a principal carga útil de infecção do Dridex nunca é transmitida ao host.
Pesquisadores de segurança permanecem positivos sobre seus futuros esforços no combate à Dridex, porque, embora a lista de software instalado seja usada para colocar na lista negra de máquinas host, a proibição só é aplicada na prática, dependendo da data de instalação do SO e do nome de usuário do computador. Isso dá esperança de que a luta contra os cibercriminosos que mantêm a Dridex permaneça em pé de igualdade.
As Carteiras de Bitcoin e outras Cripto-Moedas Enfrentam Nova Ameaça com o Dridex
O outro novo recurso importante que a Dridex parece estar avançando é o acesso às carteiras de criptomoedas. Conforme explicado em relatórios recentes do Forcepoint, a Dridex agora verifica em seu sistema host os nomes das carteiras de criptomoeda usadas com frequência. Tais ações são uma indicação óbvia de que os criminosos por trás do Trojan pretendem começar a roubar ativamente Bitcoin e moedas digitais semelhantes.
Já existe um código que busca os nomes de carteiras Bitcoin amplamente usadas, como CoinsBank, BreadWallet, Coinbase, Electrum e Bitcore, para citar alguns. A lista completa está contida em um trecho de bloco de código do Trojan e contém mais algumas dezenas de nomes de carteiras Bitcoin, além de outros softwares e termos relacionados a bancos e Bitcoin.