Neue Cyberkampagne: Dridex greift französische Nutzer an

Nachdem die Behörden vor zwei Wochen noch über die Zerschlagung eines Botnetzes auf der Grundlage von Dridex berichteten, zeigt nun eine neue Untersuchung, dass der Bank-Trojaner noch immer quicklebendig und wohlauf ist.

Innerhalb von vier Tagen registrierten die Forscher des IT-Sicherheitsunternehmens Invincea 60 Fälle von Dridex-Infektionen in Frankreich. Die Angreifer verbreiten gefälschte Mails mit einer angehängten MS Office-Datei, die wie eine Rechnung von einem Hotel oder Online-Shop aussieht. Beim Öffnen dieses Dokuments wird ein Makro aktiviert, der das Opfer mit der schädlichen PIDARAS.exe ausstattet, die über ihren Steuerungsserver eine Verbindung mit den japanischen Hosts herstellt.

Die Experten erklären, dass die Cyberkriminellen mit einem solchen Zustellungsschema versuchen, die Mechanismen zur Erkennung von Internetbedrohungen zu umgehen. Darüber hinaus verwendet der Zielschädling ein Comodo-Zertifikat und ist daher in der Lage, die Schutztechnologien auszutricksen, die den signierten Code als vertrauenswürdig einstufen.

Zum gegenwärtigen Zeitpunkt richten sich die schädlichen Versendungen gegen französischsprachige Nutzer, denn der Name des schädlichen Anhangs folgt immer einem Muster: facture – französisch für ‚Rechnung‘, der Name eines Shops, dann ein Code. Es ist allerdings nicht ausgeschlossen, dass die laufende Dridex-Kampagne mit der Zeit auf andere Sprachen und Realia ausgeweitet wird.

„Die Angriffe in Frankreich könnten sich als Vorbote umfangreicherer Kampagnen erweisen, die sich dann auch gegen User in den USA und anderen Ländern richten, denn so war das schon häufiger mit Dridex“, warnen die Vertreter von Invincea in ihrer Pressemitteilung.

Im Oktober berichteten das FBI, das Justizministerium der USA und die britische National Crime Agency über eine gemeinsame Operation zur Zerschlagung eines großen Teils der von Dridex genutzten Infrastruktur. Fachlichen Beistand erhielten die Strafverfolgungsbehörden von den Experten von Dell SecureWorks, die einige Knoten in den trojanischen p2p-Netzen auf Sinkhole-Server umleiteten und etwa 4.000 Bots auf sie lenkten, die Frankreich und Großbritannien angriffen. Doch die Praxis zeigt, dass einige Subnetze offensichtlich außerhalb ihrer Reichweite lagen.

Dridex ist Anfang Oktober zurückgekehrt; als Erste bemerkten die Forscher von Palo Alto Networks die Rückkehr des Trojaners, als sie eine schädliche E-Mail-Versendung in Großbritannien entdeckten. So wie in der laufenden französischsprachigen Kampagne, forderten die Cyberkriminellen die Empfänger der Schreiben auch zu dem Zeitpunkt auf, Makros zu aktivieren, um sich selbst die Möglichkeit zu eröffnen, den Trojaner zu aktivieren.

Leider hatte die grenzübergreifende Operation zum Sturz von Dridex nur vorübergehenden Erfolg: Wie Brad Duncan vom ISC SANS kürzlich bemerkte, verschwand dieser Trojaner nur für einen Monat von der Bildfläche. Laut Angaben des Experten registrierte das SANS-Institut im September nicht eine einzige Spam-Versendung, die auf die Verbreitung von Dridex abzielte. Auf VirusTotal erschienen in dieser Zeit ebenfalls keine neuen Samples, erst am 1. Oktober wurden ihnen wieder Samples zur Überprüfung zugestellt, ungefähr zu dem Zeitpunkt, als Palo Alto eine erhöhte Aktivität des Bankers registrierte.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.