Троян Dridex подменяет DNS кэш


IBM-ForceВ начале января 2016 года, экспертами из IBM X-Force был обнаружен банковский троян Dridex. В ходе его исследования выяснилось, что вредонос получил новый функционал и стал еще более мощным. Теперь троян использует технику подмены DNS кэша - в результате изменяя настройки DNS, троян перенаправляет пользователей на поддельные банковские сайты.

Стоит отметить, что данный тип атак чрезвычайно эффективен. Даже если пользователь ввел верный URL, в браузере все равно будет отображаться поддельный сайт. Соответственно, что после перехода жертвы на подконтрольный злоумышленникам сайт, они обманным путем могут выманить у нее коды аутентификации, токены, пароли и прочую информацию.

Кроме того, новая модификация Dridex способна добавлять в авторизационную форму новые поля, если требуется похитить больше информации. Злоумышленники инициируют нелегальную транзакцию и в случае успеха переводят деньги жертвы на свои счета.

Подобная техника уже использовалась ранее, но у банковского трояна Dyre. Правда, последний перенаправляет пользователей не с помощью DNS, а через локальные прокси-серверы.

Установлено, что новая модификация Dridex направлена на пользователи в Великобритании. В рамках кибер-компании операторы вредоноса создали сайты-подделки для тринадцати британских банков.

Также стоит отметить, что по имеющимся у IBM данным, в 2015 году Dridex вышел на третье место по количеству заражений среди банковских троянов, уступив первые позиции Neverquest и Dyre.


Обновлено (21.01.2016 21:26)