Dridex là phần mềm độc hại ngân hàng được thiết kế để đánh cắp thông tin đăng nhập ngân hàng của người tiêu dùng. Theo các nhà nghiên cứu, phần mềm độc hại Dridex trước đây chỉ nhắm vào người dùng Windows, tuy nhiên, tội phạm mạng đã thay đổi chiến thuật và chuyển sang tấn công các thiết bị macOS.
Dridex còn được gọi là Bugat và Cridex, là một phần mềm được thiết kế để đánh cắp thông tin đăng nhập ngân hàng, thu thập các dữ liệu nhạy cảm từ các máy bị nhiễm và cung cấp, thực thi các module độc hại. Nhóm đứng sau phần mềm độc hại được cho là Evil Corp (hay còn gọi là Indrik Spider).
Phần mềm độc hại Dridex cũng kế thừa các tính năng của Gameover Zeus, một trojan ngân hàng.
Mẫu phần mềm độc hại Dridex mà Trend Micro phân tích có dạng tệp Mach-O, một tệp thực thi có thể chạy trên macOS và iOS. Phần mở rộng tệp mà họ sử dụng bao gồm .o, .dylib và .bundle.
Tệp Mach-O chứa tài liệu độc hại tự động chạy khi người dùng mở nó. Sau đó, nó ghi đè lên tất cả các tệp Microsoft Word trong thư mục người dùng macOS và liên hệ với máy chủ từ xa để tải xuống nhiều tệp hơn, bao gồm tệp thực thi Windows (.exe) chạy phần mềm độc hại Dridex.
Các tệp thực thi này không thể chạy trên macOS. Tuy nhiên, nếu các tệp Word của người dùng bị ghi đè bằng các phiên bản độc hại, người dùng Mac có thể vô tình lây nhiễm cho người khác khi họ chia sẻ tệp trực tuyến.
Làm thế nào để tránh bị nhiễm phần mềm độc hại ngân hàng?
Đầu tiên và quan trọng nhất là không mở các tệp đính kèm không rõ nguồn gốc. Kiểm tra xem người gửi là ai, không chỉ bằng tên hiển thị của người gửi mà còn cả địa chỉ email. Ví dụ, công ty phát hành thẻ tín dụng sẽ không gửi biên lai bằng tài khoản Gmail cá nhân.
Mặc định trên macOS đã có các công cụ bảo mật như Gatekeeper và phần mềm chống virus XProtect. Tất nhiên, người dùng cũng có thể chọn tải xuống phần mềm chống virus của bên thứ ba hoặc sử dụng các công cụ trực tuyến để quét tệp tin, liên kết trước khi truy cập thông qua VirusTotal.
Ví dụ, nếu email có tài liệu Microsoft Word hoặc tệp Mach-O dưới dạng tệp đính kèm, người dùng nên quét email đó bằng trang VirusTotal trước khi mở.
Nguyễn Chân
10:00 | 04/01/2023
14:00 | 09/12/2022
08:00 | 04/04/2023
10:00 | 30/03/2023
16:00 | 05/04/2023
09:00 | 08/07/2022
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024