تقرير هجمات حصان طروادة درديكس [Dridex]يستهدف القطاعات البنكية

حصان طروادة درديكس Dridex

يأتيك على شكل بريد الالكتروني تصيدي،وفِي هذه الحملة يستهدف الفايروس القطاعات البنكية بشكل عام وانظمه xero بشكل خاص
تاريخ اكتشاف الهجمات:٢٠/٨/٢٠١٧
طريقة الهجوم:
يقوم المهاجم بتزيف البريد الالكتروني التابع لشركة xero وهي شركة مخصصة لبيع برامج المحاسبة السحابية تقع في نيوزيلاندا وأكثر عملاءها هم الشركات المتوسطة والصغيرة، البريد الالكتروني يحتوي على ملف مضغوط مدمج بداخله ملف جافا سكربت، وحينما يقوم الضحية بتنزيل وتفعيل البرمجيه الخبيثه يقوم بإرسال جميع المعلومات الشخصية والبنكية الى المهاجم.
عنوان الرسالة :
‏”Xero Billing Notifications”
النطاق الأصلي للشركة :xero.com
النطاق المزيف للمهاجم: xeronet.org [مقرة الصين تم تسجيلك بتاريخ١٦/٨/٢٠١٧]
المحتوى: مرفقات خبيثه وروابط لتنزيل ملفات خبيثة بعد تحميل ملف Invoice.zip ثم Invoice.js.

بعد ذلك يقوم بتثبيت البرمجيه الخبيثة تحت اسم “Y739Ayh.exe” وهي متطورة جداً وتقوم بجميع معلومات الشخصية لكل المستخدمين والتطبيقات المثبته وتعديلات على البوليسي الخاصة بالجهاز وتعديل في متصفح انترنت اكسببلورر وحقن برامج whoami.exe” و “net.exe”. وكذلك يحقن الخدمات “svchost.exe” و “spoolsv.exe” ويقوم بحذف الملف الضار الأساسي Y739Ayh.exe
مكان حفظ البيانات:
يقوم البرنامج بجمع البيانات في امتداد windows %TMPE% وتخزينها يتم بشكل مشفر ويتم إرسالها الى المهاجم عن طريق برتوكول SSL
تصميم البرمجيه الخبيثة وهدفها:
تم تصميم البرمجيه الخبيثة لحقن نفسها في جميع المتصفحات والتجسس على المدخلات وسرقتها
مؤشرات الاختراق:

 

اترك رد