Dridex übernimmt Tricks von Dyre und greift Briten an

Forscher haben herausgefunden, dass die Betreiber von Dridex ihr Interessenspektrum verengt haben und sich nun auf britische Banken konzentrieren, deren Kunden juristische Personen sind. Vor zwei Wochen erschien eine neue Version dieses Trojaners, und bald darauf folgte eine Serie von Schadversendungen, die sich gegen britische Anwender richtet.

Laut Angaben von Limor Kessem, einem der führenden Experten von IBM X-Force, wird die neuste Dridex-Version über das Botnetz Andromeda in Umlauf gebracht. Zunächst war die Liste der Ziele des aktualisierten Trojaners auf zwei Banken beschränkt, doch nach ein paar Tagen wurde sie um 13 Positionen erweitert.

Die Dridex-Angriffe auf britische Banken dürften kaum jemanden überraschen: Dieser Schädling hatte schon immer ein ausgeprägtes Interesse an Geld. IBM nimmt an, dass die Autoren des Trojaners beschlossen haben, sich auf offenkundig lukrative Ziele zu konzentrieren, und zwar Banken mit Subdomains für den Zugriff auf Unternehmens- und Geschäftskonten.

Die Verbreitung des neuen Dridex funktioniert wie gehabt, und zwar über Microsoft Office-Dateien mit schädlichen Makros, die als Rechnungen getarnt und an ein gefälschtes elektronisches Anschreiben angehängt sind. Will das Opfer die Website seiner Bank aufrufen, so wird die Anfrage unbemerkt auf eine andere Ressource weitergeleitet, um dem Online-Banking-Kunden dort die Nutzer-ID und das Passwort zu entlocken.

Der Trick, Daten mittels Redirect zu stehlen, ist nicht neu, er wird auch von einem anderen Bank-Trojaner eingesetzt – Dyre. Allerdings verwendet dieser zu diesem Zweck einen lokalen Proxy-Server, und der aktualisierte Trojaner Dridex hingegen tauscht die Einträge im lokalen DNS-Cache aus.

Der Einsatz einer solchen Technik macht laut Kessem umfassende Vorbereitungen erforderlich. „Um einen Angriff mit Redirect vorzubereiten, muss die Verbrecherbande viel in die Erstellung exakter Kopien der Websites der angegriffenen Banken investieren“, schreibt der Experte im X-Force-Blog. „Als Dyre begann, diese Methode einzusetzen, umfasste die Zielliste dieses Schädlings mehr als ein Dutzend Banken. Diese Operation machte den Einsatz umfangreicher Ressourcen erforderlich und die Betreiber von Dyre mussten letztlich wieder auf Web-Einschleusungen und den Austausch von Seiten zurückgreifen.“

Nichts desto weniger hat die neue Dridex-Kampagne sehr schnell Fahrt aufgenommen, und das ließ Kessem vermuten, dass beide Verbrechergruppen über ein und denselben Entwickler oder Betreiber miteinander verbunden sind. Möglicherweise haben die Dridex-Betreiber auch einfach einige Website-Kopien bei der Gruppe gekauft, die hinter Dyre steht.

Zuletzt wurde in den Medien Ende Oktober über Dridex berichtet. Zu dem Zeitpunkt war der Banken-Schädling aktiv und griff französische Bankkunden an, obgleich das FBI und die britische National Crime Agency kurz zuvor eine gemeinsame Operation zur Zerschlagung der Infrastruktur des Trojaners durchgeführt hatten. Da der Trojaner seinen Zug durch Europa fortsetzt, konnte diese Aktion seinen verheerenden Vormarsch offensichtlich nur kurzfristig stoppen.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.