Bitdefender: Un virus capturează datele de autentificare ale clienților a două bănci din România

Bitdefender: Un virus capturează datele de autentificare ale clienților a două bănci din România
scris 17 aug 2015

Utilizatorii a două bănci din România de servicii de online banking sunt ținta exclusivă a unui val de mesaje spam generat de un troian, care capturează datele de autentificare ale clienților.

“Este vorba de troianul Dridex, configurat să atace două bănci românești. Atacurile au început în data de 10 august. Credem că în perioada următoare vor urma și alte bănci”, a declarat pentru Profit directorul de relații publice al Bitdefender, Andrei Taflan. El nu a dorit să divulge denumirea celor două bănci. Campania reprezintă unul dintre cele mai complexe eforturi ale hackerilor de a instala troianul Dridex și a fura datele de autentificare ale victimelor din România.

Urmărește-ne și pe Google News

Dridex este un virus relativ nou, evoluat din malware-ul Cridex, care la rândul sau este succesorul cunoscutului troian Zeus. Infecțiile cu Dridex au apărut la finalul anului 2014. Fiecare campanie de propagare se concentrează pe o anumită regiune a lumii. Virusul se propagă fie printr-un fișier executabil atașat la mesaje spam, fie prin link-uri care descarcă automat virusul odată ce sunt accesate. Noua campanie folosește fișiere Word și Excel care includ cod de tip macro. Acestea instalează un downloader generic pentru a descărca și executa Dridex. Mesajele din perioada 10-17 august 2015 par să fie trimise de la companii românești și pretind să conțină documente financiare importante pentru utilizator.

Evenimente

28 noiembrie - Profit Financial.forum

Dacă utilizatorul deschide fișierul Word și activează funcționalitatea macro (dezactivată automat de programul Word pentru a evita riscurile de securitate), aplicația Word va lansa automat procesul de descărcare a virusului. Troianul Dridex e un fișier DLL care se injectează în procesul explorer.exe, de unde va monitoriza activitatea bancară și de navigare a utilizatorului, indiferent de browserul folosit -Firefox, Google Chrome sau Internet Explorer.

Pentru a comunica cu serverele de comandă ale hackerilor, virusul crează o regulă de firewall nouă, fapt care ar putea să pară suspect pentru unii utilizatori. Centrele de comandă și control sunt actualizate permanent și dictează virusului ce tip de informații să fure de la utilizator. Pentru a captura datele de autentificare, Dridex folosește diferite module.

Pentru banca care folosește tastatura virtuală la introducerea parolei, troianul face capturi de ecran la fiecare click de mouse. Pentru cealaltă bancă, Troianul folosește un modul care injectează cod în pagina de autentificare.

Dridex este greu de identificat pe un calculator deja infectat. Pentru a rămâne nedepistat, virusul se adaugă la programele care pornesc odată cu sistemul de operare doar înaintea închiderii calculatorului. După ce PC-ul este repornit, virusul se elimină din lista de programe ce pornesc automat, ceea ce îl face aproape invizibil. În cazul unei pene de curent sau închiderii bruște a calculatorului, virusul nu se va mai putea executa, deoarece nu se află în lista de aplicații care trebuie repornite.

Pentru a preveni infecția, Bitdefender le recomandă utilizatorilor să folosească o soluție de securitate performantă și actualizată la zi și să evite să dea click pe link-uri provenite din e-mailuri de la expeditori necunoscuți. Dacă suspectează că sunt infectați, utilizatorii pot încerca apăsarea butonul de restart pentru a opri derularea acestuia la repornirea PC-ului. De asemenea, este bine ca aceștia să notifice instituția bancară la care au cont și să-și schimbe datele de autentificare în cel mai scurt timp posibil.

Bitdefender este un producător de soluții de securitate informatică și are aproximativ 500 milioane de utilizatori individuali și companii din întreaga lume.

viewscnt
Afla mai multe despre
bitdefender
virus
troian
banci
banking