Blog

Infoblox odkril slovensko različico bančnega trojanskega konja Dreambot

Novembra lani je podjetje Infoblox predstavil elektronsko pošto v slovenščini v kateri se je distribuiral (skril) trojanski konj Dreambot. Dreambot je ciljno usmerjen na finančne institucije z namenom kraje podatkov za preverjanje pristnosti.

Poleg tega pa lahko:

  • Blokira tipkovnico
  • Vstavlja neželene spletne strani
  • Izvleče in pošilja podatke spletnih obrazcev
  • Pridobiva spletne račune
  • Naredi posnetke zaslonov

Analiza napada

Ko smo lahko opazili, so bila e-poštna sporočila napisana v češčini ali slovenščini in se nanašajo na finančne podatke uporabnika. Dreambot se aktivira prek e-poštnih prilog ali e-poštnih sporočil s povezavo do datoteke. Datoteka je lahko Microsoft Office dokument ali ZIP datoteka, ki vsebuje Microsoft Office dokument ali datoteko JavaScript.

  • DOCX datoteka se poveže na sumljivi strežnik s predlogo, ki vsebuje kodo Visual Basic for Applications (VBA).
  • Poleg tega šifrirana ZIP vsebuje datoteko Microsoft Office DOC, ki vsebuje kodo VBA.

Koda VBA izvede PowerShell ukaze za prenos Dreambota s ogroženega spletnega mesta WordPress. Povezava s predlogo s kodo VBA in šifrirana ZIP datoteka, ki vsebuje dokument z oznako VBA, sta tehniki, ki jo varnostna rešitev ne zazna kot zlonamerno.

Koraki napada

Ko uporabnik odpre e-poštno s priponko DOCX, le ta prenese template s spletne strani whiterave.org/.ua. Microsoft Office nato template uporabi in odpre datoteko DOCX kar sproži VBA kodo. Koda VBA izvede PowerShell ukaze za prenos in izvajanje Dreambota s pomočjo Regsvr32.exe. Zlonamerna programska oprema se s tem injicira v Explorer.exe in zažene CMD.exe commands za profil uporabnikovega računalnika. Dreambot nato te podatke pošlje svojemu strežniku za upravljanje in nadzor.

Ranljivosti in omilitve

Za preprečevanje in ublažitev okužb s Dreambota priporočamo naslednje metode:

  • Če dobite sumljivo datoteko jo natančno preglejte predno jo odpirate.
  • Vedno bodite sumljivi na nejasna ali prazna e-poštna sporočila, še posebej, če obstaja poziv, da odprete prilogo ali kliknete povezavo.
  • Vedno bodite sumljivi glede nepričakovanih e-poštnih sporočil, zlasti glede finančne ali dopisne korespondence, dokumentov ali povezav.
  • Ne omogočite makrov v prilogi Microsoft Office, še posebej, če je edina očitna vsebina datoteke navodila za omogočanje makrov.

 

Za več informacij o Infoblox in informativni ponudbi se obrnite na nas.

Potrebujete ponudbo ali pomoč pri konfiguraciji rešitve? Iščete partnerja za implementacijo?

Kontaktirajte nas!