Utilizatorii serviciilor de online banking din Romania sunt victimele unui nou val de mesaje spam trimis in ultimele zile, informeaza specialistii Bitdefender.

Campania reprezinta unul dintre cele mai complexe eforturi ale hackerilor de a instala troianul Dridex si a fura datele de autentificare ale clientilor institutiilor financiare din tara noastra.

Virusul este relativ nou, evoluat din malware-ul Cridex. La randul sau, acesta este succesorul cunoscutului troian Zeus.

Infectiile cu Dridex au aparut pentru prima data la finalul anului 2014, potrivit unui comunicat remis Ziare.com de specialistii Bitdefender.

Cum functioneaza Dridex?

Virusul se propaga fie printr-un fisier. exe atasat la mesaje spam, fie prin link-uri care descarca automat virusul odata ce sunt accesate. Noua campanie foloseste fisiere Word si Excel care includ cod de tip macro.

Mesajele spam, trimise in perioada 10-17 august 2015, par sa fie ale unor companii romanesti si pretind sa contina documente financiare importante pentru utilizator. Daca acesta deschide fisierul Word si activeaza functionalitatea macro (dezactivata automat de programul Word pentru a evita riscurile de securitate), aplicatia Word va lansa automat procesul de descarcare a virusului.

Troianul Dridex e un fisier DLL care se injecteaza in procesul explorer.exe, de unde va monitoriza activitatea bancara si de navigare a utilizatorului, indiferent de browserul folosit: Firefox, Google Chrome sau Internet Explorer.

Pentru a comunica cu serverele de comanda ale hackerilor, virusul creaza o regula de firewall noua, fapt care ar putea sa para suspect pentru unii utilizatori. Centrele de comanda si control sunt actualizate permanent si dicteaza virusului ce tip de informatii sa fure de la utilizator.

Cine sunt victimele

Troianul Dridex este momentan configurat sa atace doua banci romanesti. Pentru a fura datele de autentificare, acesta foloseste diferite module. Pentru banca ce foloseste tastatura virtuala la introducerea parolei, troianul face capturi de ecran la fiecare click de mouse. Pentru cealalta, virusul foloseste un modul care injecteaza cod in pagina de autentificare.

Momentan nu se cunoaste numele institutiilor financiare respective.

Cum ne protejam

Dridex este greu de identificat pe un calculator deja infectat. Pentru a ramane nedepistat, virusul se adauga la programele care pornesc odata cu sistemul de operare doar inaintea inchiderii calculatorului.

Dupa ce PC-ul este repornit, virusul se elimina din lista de programe ce pornesc automat, ceea ce il face aproape invizibil. In cazul unei pene de curent sau inchiderii bruste a calculatorului, virusul nu se va mai putea executa, deoarece nu se afla in lista de aplicatii care trebuie repornite.

Pentru a preveni infectia, Bitdefender le recomanda utilizatorilor sa foloseasca o solutie de securitate performanta si actualizata la zi si sa evite sa dea click pe linkuri provenite din emailuri de la expeditori necunoscuti.

Daca suspecteaza ca sunt infectati, utilizatorii pot incerca apasarea butonul de restart pentru a opri derularea acestuia la repornirea PC-ului. De asemenea, este bine ca acestia sa notifice institutia bancara la care au cont si sa-si schimbe datele de autentificare in cel mai scurt timp posibil.

Clientii bancilor din Romania, asaltati de hackeri

Acesta nu este singurul virus care are ca destinatie clientii bancilor din Romania. IBM a descoperit o versiune de malware Tinba v3 configurata pentru a ataca exclusiv 12 banci din Romania, care a intrat in atentia SRI.

"Este o aplicatie malitioasa, activa din 2012, care vizeaza in special clientii bancilor. Versiunea acesta este prima din generatia din Tinba care este adaptata pietei bancare romanesti. Din investigatiile noastre, pana in prezent nu s-a confirmat existenta unor victime", a declarat purtatorul de cuvant al SRI, Sorin Sava, care a adaugat ca aceasta aplicatie se afla in atentia Serviciului inca de la data aparitiei.

Sursa: ziare.com