Palo Alto Networks alerta sobre novos ataques do vírus Dridex

Por Redação | 23 de Janeiro de 2015 às 16h30

As duas primeiras semanas deste ano registraram novas invasões do vírus Dridex Trojan, uma versão mais avançada da ameaça Bugat/Feodo/Cridex. De acordo com a empresa especialista em segurança Palo Alto Networks, os alvos dos ataques são instituições financeiras online.

O Dridex está se propagando por meio de uma campanha de e-mail que contém um documento de Word em anexo, que utiliza um código macro para baixar e executar uma cópia do vírus. Ele tem como alvos os bancos de todo o mundo e busca credenciais dos usuários para transferir fundos.

Em outubro do ano passado, a Palo Alto Networks já havia alertado para uma série de ataques do mesmo vírus. Na época, os Estados Unidos eram os mais atingidos, com o Reino Unido em segundo lugar. Agora, os britânicos se tornaram os mais afetados, com mais de um terço dos ataques.

Muitos dos nomes mais comuns se referem ao BACS (Bankers’ Automated Clearing Services), serviço comumente utilizado nas transferências bancárias na terra da rainha. Outro grupo de e-mails dizia ser uma nota fiscal do Les Mills, uma rede de academias. Esta campanha tinha o objetivo de atingir pessoas que se comprometeram a entrar em forma em 2015 na Grã-Bretanha.

Em outubro, a Palo Alto Networks identificou seis URLs usadas pelos documentos de Word para baixar o Dridex Trojan. Nas últimas duas semanas, foram detectados arquivos utilizados em 43 diferentes localizações de download. ATENÇÃO: é bem provável que esses links estejam infectados, portanto, não os execute em sua máquina. Confira a lista:

  • 108.59.252.116/mops/pops.php
  • 111.125.170.132/doc/8.exe
  • 159.253.19.113/ord/1.exe
  • 178.77.79.224/mops/pops.php
  • 188.241.116.63/mops/pops.php
  • 192.157.233.28/ord/1.exe
  • 192.227.167.32/mops/pops.php
  • 193.136.19.160/mans/pops.php
  • 194.28.139.100/mans/pops.php
  • 206.72.192.15/mans/pops.php
  • 213.174.162.126/mans/pops.php
  • 213.9.95.58/mans/pops.php
  • 87.106.165.232/mans/pops.php
  • aircraftpolish.com/js/bin.exe
  • betterinnovation.net/modules/mod_arateiclws/cr_7_2711_2.exe
  • cerovski1.net.amis.hr/js/bin.exe
  • curie-hennebont.fr/js/bin.exe
  • dollarbrasil.com.br/444
  • ecovoyage.hi2.ro/js/bin.exe
  • elsy.pwp.blueyonder.co.uk/444
  • fachonet.com/js/bin.exe
  • gofoto.dk/js/bin.exe
  • gv-roth.de/js/bin.exe
  • interativaonline.com/444
  • jasoncurtis.co.uk/js/bin.exe
  • lapiden.com/wp-content/themes/twentytwelve/mss20.exe
  • lapiden.com/wp-content/themes/twentytwelve/mss22.exe
  • lichtblick-tiere.de/js/bin.exe
  • media.mystudio.net/js/bin.exe
  • microinvent.com/js/bin.exe
  • nestorausqui.com/444
  • ngrbook.com/cp/images/digits/blushdw/cr_7_2711_2.exe
  • nubsjackbox.oboroduki.com/js/bin.exe
  • obuwiehurt.com.pl/js/bin.exe
  • paulmartinseo.com/wp-content/themes/twentyten/cr_7_2711_13.exe
  • phaluzan.net.amis.hr/js/bin.exe
  • riccis.homepage.t-online.de/Testseite/js/bin.exe
  • sardiniarealestate.info/js/bin.exe
  • ticklestootsies.com/js/bin.exe
  • walkdesign.com/wp-content/themes/willow/cr7_2711_1.exe
  • weme-systems.de/modules/mod_arateiclws/mss3.exe
  • www.isolectra.com.sg/tmp/rk2n1.exe
  • zusso.jp/444

Muitas dessas URLs estão hospedadas em sites confiáveis e ainda não se sabe como os cibercriminosos tomaram conta desses websites. Entretanto, existem agrupamentos de fácil identificação de padrões para o download de URLs. Um grupo se baseia no caminho “/js/bin.exe” e outro utiliza ““mops/pops.php”. Estas URLs estão codificadas com os macros incluídos em cada arquivo.

Segundo a Palo Alto Networks, a melhor forma de evitar esses vírus, além de ter uma solução antivírus instalada e ativada, é desabilitar os macros no Microsoft Word. A maioria das organizações pode desabilitá-lo como proteção, permitindo macros somente em arquivos confiáveis.

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.