نسخه جدید بدافزار دری‌دکس

نسخه جدید بدافزار دری‌دکس
تاریخ انتشار : ۱۶ اسفند ۱۳۹۵

کارشناسان شرکت آی.بی.ام آخرین نسخه بدافزار دری‌دکس که با استفاده از روش (AtomBombing) کار می‌کند را موردبررسی قراردادند.

به گزارش گرداب، شرکت آی.بی.ام در 28 فوریه گزارشی از نمونه جدید بدافزار دری‌دکس منتشر کرد. در این نمونه مشتریان بانک‌های بریتانیا هدف حمله قرارگرفته بودند. ویژگی‌های این بدافزار و استفاده از روش (AtomBombing) بسیار قابل‌توجه است؛ روش نفوذ این بدافزار به‌این‌ترتیب است که کدهای مخرب قطعه‌قطعه شده و در جدولی به نام (Atom tables) مخفی می‌شوند و دری‌دکس امکان فعال شدن را پیدا می‌کند.

(Atom tables) به جدولی گفته می‌شود که ویندوز امکان دسترسی برنامه‌های کاربردی را به رشته‌های متنی فراهم می‌آورد. استفاده از این روش موجب می‌شود Dridex 4.0 به ای.پی.آی های ویندوز نیازی نداشته و از طریق Atom tables حمله خود را عملی ‌نماید؛ ای.پی.آی هایی که اغلب توسط سیستم‌های امنیتی برای یافتن بدافزار دری‌دکس استفاده می‌شود ، در این نسخه جدید کاملاً بی‌ثمر است.

جرومی سی‌گورا (Jerome Segura) تحلیلگر اطلاعاتی در زمینه بدافزارهای مخرب، گفت: «دری‌دکس اولین بدافزاری است که به روش AtomBombing در اواخر سال 2016 به سیستم‌ها حمله کرده است. این رویکرد بارگذاری، جدید بوده و مانند روش‌های معمول حملات API ها نیست و آنتی‌ویروس‌ها و سامانه‌های امنیتی، وجود این بدافزار را تشخیص نمی‌دهند.»

روش AtomBombing برای اولین بار در سال 2016 توسط محققان (enSilo) سامانه حفاظت درلحظه از داده‌ها (enSilo: Real-time Data Protection Platform)، شناسایی و معرفی شد، درنتیجه نویسنده دری‌دکس به‌آسانی از این روش جدید استفاده کرد و بدافزار خود را به این روش طراحی کرد.

زمانی که شرکت enSilo برای اولین بار از تکنولوژی AtomBombing خبر داد، اعلام کرد ویندوز این مشکل را نمی‌تواند مرتفع کند، به‌جز زمانی که اقدام به بازنویسی بخش‌هایی از سیستم‌عامل کنند. دری‌دکس بدافزاری است که بانکداری را هدف قرار داده و برداشت اعتباری از سازمان‌های مالی را (این اضافیه)هدف اصلی آن است.

این بدافزار از روش ایمیل‌های فیشینگ استفاده می‌کرد و اسناد ورد و اکسل را به همراه ماکروهای آلوده ارسال می‌نمود. درروشی جدید، این بدافزار، از طریق تزریق کدهای HTML به سامانه‌های بانکداری، یا نفوذ مستقیم به وب‌سایت‌های بانکداری اقدام به نفوذ می‌کند. هنگامی‌که کاربر از این سایت آلوده بازدید می‌کند، در زمانی که وارد پورتال بانکداری الکترونیک شود و اطلاعات کاربری خود را وارد می‌کند، دری‌دکس اسناد بانکی شخص را ربوده و به نویسنده خود ارسال می‌کند.

آژانس ملی جرائم بریتانیا (NCA) در سال 2015 ادعا کرد که دری‌دکس مبلغ 20 میلیون پوند به سرقت برده است.

حملات این بدافزار از اواخر سال 2014 شروع شد و نویسنده آن، برای به دام انداختن مشتریان بیشتر آن را گسترش داد اما در آن دوره، شرکت ها سیستم‌های خود را برای مقابله با حملات این‌چنینی ارتقا بخشیدند.

در سال گذشته یعنی سال 2016 محققان شرکت ForcePoint گفتند دری‌دکس اقدام به ارتقای خود برای حمله به سایپتو‌کارنسی (cryptocurrency) کرده است. سایپتو‌کارنسی به «ارز رمزپایه» گفته می‌شود که از رمزنگاری برای ایمنی بخشی به تراکنش‌ها و کنترل تولید واحدهای جدید (از همان ارز) استفاده می‌شود.

جاناتان سندر (Jonathan Sander)، معاون راهبردی محصولات نرم‌افزاری شرکت ForcePoint گفت: «هنگامی‌که از دشمن آنلاین صحبت می‌کنیم بسیاری از مردم فردی با انگشتان و ناخن‌های کثیف، پشت یک میز نامرتب را در ذهن تصور می‌کنند. در حقیقت امروزه دشمنان همانند کارتون‌های عروسکی خوب و زیبا به نظر می‌رسند و آن‌ها متخصصین نرم‌افزاری‌اند که با حقوق و مزایا و زندگی عادی در حال گسترش نرم‌افزار خود هستند و با افرادی که جرم و جنایت سازمان‌یافته انجام می‌دهند کاملاً تفاوت دارند.»