fbpx

Business

Malware Dreambot je tu

Malware Dreambot je tu! Jak se mu bránit?

Dejte si pozor, společnost Infoblox zaznamenala, že do České republiky zavítal nový trojan – Dreambot. Maskuje se coby dokument v příloze mailu a cílí především na finanční sektor. Své oběti našel zatím v Austrálii, Itálii, Švýcarsku nebo v Polsku. Jak tento malware funguje, jak jej poznat a nespálit se? Poradíme!

 

Dreambot je varianta v minulosti rozšířeného trojského koně jménem Ursnif. Zásadní novinkou je však schopnost anonymně komunikovat přes Tor, což může výrazně ztížit práci bezpečnostním týmům a IT adminům. Detekovat aktivitu malwaru v sítích tak bude zase o něco složitější.

 

Pěkná potvora

Dreambot se zaměřuje především na finanční instituce – zákazníkům ukradne autentizační informace, a kromě toho může dělat i další věci. Například reportovat jeho tvůrcům:

 

● mapuje uživatelovo stisknutí kláves;

● infikovat další webové stránky;

● extrahuje data z webového formuláře;

● extrahuje e-mailová data;

● pořizuje snímky obrazovky.

 

To nezní hezky, že?

 

Jak Dreambot láká uživatele

Kampaň tvůrců Dreambotu probíhá skrze lokalizovaný email s věrnou napodobeninou banky. Samotný Dreambot je pak ukryt v příloze nebo číhá v odkazu na soubor. Maskován je coby dokument kompatibilní s Microsoft Office nebo v komprimovaném ZIP formátu – byl zaznamenán i javascriptový soubor.

 

Co když to otevřu…?

Když pak takový soubor uživatel otevře, začnou se dít následující věci:

 

● Soubor .docx načte šablonu obsahující Visual Basic for Applications (VBA) z kompromitovaného serveru.

● Alternativně šifrovaný ZIP obsahuje soubor Microsoft Office DOC obsahující VBA kód.

 

Kód VBA provede skrze PowerShell příkaz stáhnout Dreambot z kompromitovaného webu postavenému na systému WordPress. Skrýt jej jako skript v dokumentu je rozšířená technika, která zabraňuje antivirovým skenerům identifikovat nebezpečný email!

Soubor .docx totiž obsahuje pouze odkaz na šablonu s kódem VBA a načte jej pouze při otevření. Bez načtení dalšího souboru bude dokument vypadat neškodně. Soubor ZIP se přitom tváří šifrovaně a nemůže tak být skenován.

 

Proces infekce

Když se na to podíváme technicky: Příjemce e-mailu si v prvním kroku otevře infikovanou .docx přílohu. Microsoft Office následně stáhne externě propojenou šablonu z whiteraven [.] org [.] ua. Office poté použije šablonu a otevře soubor .docx – to spustí kód VBA v šabloně.

Kód VBA spouští příkazy PowerShell: Stáhnout a spustit Dreambot pomocí Regsvr32.exe. Malware se dostane do Explorer.exe a spouští příkazy CMD.exe prostřednictvím profilu uživatele počítače. Dreambot pak odešle požadované informace svému tvůrci…

 

Jak se vyhnout infekci

Odborníci z Infobloxu a Veracompu doporučují následující postup, jak předcházet Dreambotu:

● Pokud kliknutí na odkaz okamžitě zahájí pokus o stažení souboru, tento soubor pro vás musí být automaticky podezřelý. Než kliknete, pečlivě zkontrolujte, kam odkaz vede.

● Nedůvěřujte nejasným nebo prázdným e-mailům, zejména pokud obsahují výzvu k otevření přílohy nebo kliknutí na odkaz.

● Nedůvěřujte nečekaným emailům z bank s přílohami nebo podezřelými odkazy.

● Nepovolovat makra u dokumentů Microsoft Office – zejména pokud jde o soubor obsahující pouze pokyn k povolení makra.

 

 

Sdílet:
PŘEDCHOZÍ ČLÁNEK

Posted by -

Chcete dostávat měsíční přehled toho nejzajímavějšího z ICT Blogu?