Dridex هو أحد أحصنة طروادة المصرفية سيئة السمعة وهو أحد أشكال البرامج الضارة المصممة لسرقة المعلومات المالية الحساسة، والتي تستهدف في المقام الأول بيانات اعتماد الخدمات المصرفية عبر الإنترنت. يعد هذا التهديد السيبراني المتطور جزءًا من فئة أوسع من أحصنة طروادة المصرفية، والتي تشكل خطرًا كبيرًا على الأفراد والشركات والمؤسسات المالية في جميع أنحاء العالم. تشتهر Dridex بسلوكها الخفي وقد تسببت في خسائر مالية كبيرة للضحايا على مر السنين.
تاريخ أصل دريدكس وأول ذكر له
ظهرت Dridex لأول مرة في عام 2014 كخليفة لفيروسات طروادة المصرفية الشهيرة Cridex وZeus. ويُعتقد أنه تم تطويره من قبل مجموعة إجرامية إلكترونية جيدة التنظيم، ومن المحتمل أن يكون مصدرها أوروبا الشرقية. كان التركيز الأولي للبرامج الضارة بشكل أساسي على استهداف المؤسسات المالية في الولايات المتحدة والمملكة المتحدة وأوروبا. جاء أول ذكر لـ Dridex من باحثين أمنيين حددوا البرامج الضارة في الحملات النشطة التي تستهدف عملاء البنوك من خلال رسائل البريد الإلكتروني العشوائية والمرفقات الضارة.
معلومات تفصيلية عن دريدكس. توسيع الموضوع Dridex.
تعمل Dridex باستخدام أساليب الهندسة الاجتماعية لجذب الضحايا لفتح مرفقات البريد الإلكتروني الضارة، والتي غالبًا ما تكون متخفية في صورة فواتير أو بيانات مالية أو مستندات أخرى تبدو مشروعة. بمجرد فتح المرفق، يتم تثبيت حصان طروادة بصمت على نظام الضحية، ويبدأ أنشطته السرية. يستخدم Dridex بنية معيارية، مما يسمح له بتنزيل وتنفيذ مكونات ضارة إضافية، مثل keyloggers وملتقطي النماذج، لسرقة البيانات الحساسة.
واحدة من أبرز ميزات Dridex هي استخدامه لآلية حقن الويب. فهو يقوم بإدخال تعليمات برمجية ضارة في متصفح الويب الخاص بالضحية، مما يسمح له باعتراض وتعديل صفحات الويب المتعلقة بالخدمات المصرفية عبر الإنترنت، وخداع المستخدمين لإدخال بيانات اعتماد تسجيل الدخول الخاصة بهم وغيرها من المعلومات الحساسة على مواقع الويب المزيفة. هذه التقنية، المعروفة باسم هجوم "الرجل في المتصفح"، تجعل من الصعب على الضحايا اكتشاف الأنشطة الاحتيالية.
الهيكل الداخلي للدريديكس. كيف يعمل دريدكس.
تمت كتابة Dridex بشكل أساسي بلغة C++ ويستخدم تقنيات مراوغة مختلفة لتجنب اكتشافه بواسطة برامج الأمان. تستخدم البرمجيات الخبيثة أساليب التشفير والتعتيم لإخفاء التعليمات البرمجية الضارة والتواصل مع خوادم القيادة والتحكم (C&C)، مما يجعل من الصعب على محللي الأمن تحليل حصان طروادة وإجراء هندسة عكسية له. يتيح الاتصال بخوادم التحكم والسيطرة للمهاجمين التحكم عن بعد في البرامج الضارة وتحديثها على الأنظمة المصابة.
تتضمن سلسلة الإصابة بـ Dridex بشكل عام الخطوات التالية:
- توصيل: يتم تسليم Dridex إلى الضحايا من خلال رسائل البريد الإلكتروني العشوائية التي تحتوي على مرفقات أو روابط ضارة لتنزيل الحمولة من مواقع الويب المخترقة.
- تنفيذ: بمجرد فتح المرفق أو النقر فوق الارتباط، يتم تنفيذ البرنامج الضار على نظام الضحية، وغالبًا ما يستخدم وحدات الماكرو أو لغات البرمجة النصية الأخرى.
- عدوى: يكتسب Dridex الثبات على النظام عن طريق إنشاء إدخالات التسجيل أو استخدام طرق أخرى لضمان تشغيله في كل مرة يبدأ فيها النظام.
- سرقة البيانات: تبدأ البرامج الضارة عمليات سرقة المعلومات من خلال التقاط ضغطات المفاتيح ومراقبة نشاط الويب وسرقة بيانات اعتماد تسجيل الدخول للحسابات المصرفية عبر الإنترنت.
- القيادة والسيطرة: يقوم Dridex بإنشاء اتصال مع خوادم القيادة والتحكم لتلقي الأوامر وتصفية البيانات المسروقة.
تحليل السمات الرئيسية لDridex
يتمتع Dridex بالعديد من الميزات الرئيسية التي تجعل منه حصان طروادة مصرفيًا قويًا ويشكل تهديدًا كبيرًا لمستخدمي الخدمات المصرفية عبر الإنترنت:
-
هندسة اجتماعية: يعتمد Dridex بشكل كبير على أساليب الهندسة الاجتماعية لخداع المستخدمين لفتح مرفقات ضارة أو النقر على الروابط الضارة، واستغلال السلوك البشري لبدء عملية الإصابة.
-
حقن الويب: استخدام حقن الويب يسمح لـ Dridex بالتلاعب بصفحات الويب وتقديم صفحات تصيد مقنعة للضحايا، مما يزيد من فرص التقاط البيانات الحساسة.
-
إصرار: يضمن Dridex بقاءه على النظام المصاب من خلال إنشاء آليات الثبات، مما يجعل من الصعب إزالته بمجرد تثبيته.
-
التشفير والتشويش: تقوم البرامج الضارة بتشفير اتصالاتها وتشويش التعليمات البرمجية الخاصة بها لتجنب الكشف والتحليل بواسطة أدوات الأمان.
-
تصميم وحدات: التصميم المعياري لـ Dridex يمكّنه من تنزيل وتثبيت مكونات إضافية، مما يجعله قابلاً للتكيف وقادرًا على التطور للتغلب على الإجراءات الأمنية.
أنواع دريدكس
لقد خضع Dridex للعديد من التكرارات والاختلافات منذ اكتشافه الأولي. مع مرور الوقت، تم إصدار إصدارات مختلفة، كل منها يتمتع بقدرات محسنة وتقنيات مراوغة محسنة. بعض الأنواع البارزة من Dridex تشمل:
| البديل دريدكس | وصف |
|---|---|
| دريدكس 220 | متغير مبكر ركز بشكل أساسي على استهداف المؤسسات المالية في الولايات المتحدة. |
| دريدكس 270 | نسخة لاحقة وسعت نطاقها المستهدف ليشمل المؤسسات المالية في أوروبا والمملكة المتحدة. |
| دريدكس 300 | متغير متقدم أدى إلى تحسين تقنيات حقن الويب وآليات التهرب. |
من الضروري أن يظل المستخدمون والمؤسسات يقظين وأن يستخدموا تدابير أمنية قوية للدفاع ضد متغيرات Dridex المتطورة.
من المهم توضيح أن Dridex هي أداة ضارة وغير قانونية يستخدمها مجرمو الإنترنت لسرقة المعلومات الحساسة، خاصة المتعلقة بالخدمات المصرفية عبر الإنترنت. وعلى هذا النحو، لا توجد طرق مشروعة لاستخدام Dridex، وأي محاولة للقيام بذلك تعتبر غير قانونية وتخضع لعواقب قانونية وخيمة.
المشاكل المتعلقة باستخدام Dridex بعيدة المدى ويمكن أن تؤدي إلى خسائر مالية كبيرة وسرقة الهوية وانتهاك الخصوصية. الحل الأكثر فعالية هو منع العدوى في المقام الأول من خلال اعتماد أفضل الممارسات التالية:
-
نظافة البريد الإلكتروني: كن حذرًا عند فتح رسائل البريد الإلكتروني الواردة من مرسلين غير معروفين وتجنب النقر على الروابط المشبوهة أو تنزيل المرفقات من مصادر غير موثوقة.
-
برامج الأمن: استخدم برامج مكافحة الفيروسات والبرامج الضارة ذات السمعة الطيبة والتي يمكنها اكتشاف التهديدات مثل Dridex وحظرها.
-
تحديثات البرنامج: حافظ على تحديث جميع البرامج، بما في ذلك نظام التشغيل ومتصفحات الويب والتطبيقات، بأحدث تصحيحات الأمان.
-
التعليم والتوعية: تثقيف الموظفين والمستخدمين حول مخاطر رسائل البريد الإلكتروني التصيدية وتقنيات الهندسة الاجتماعية لتقليل مخاطر الوقوع ضحية لمثل هذه الهجمات.
الخصائص الرئيسية ومقارنات أخرى مع مصطلحات مماثلة
| صفة مميزة | دريديكس | زيوس | إيموتيت |
|---|---|---|---|
| يكتب | طروادة المصرفية | طروادة المصرفية | محمل البرامج الضارة |
| الوظيفة الأساسية | سرقة البيانات المصرفية عبر الإنترنت | سرقة البيانات المصرفية عبر الإنترنت | تسليم البرامج الضارة الأخرى |
| طريقة العدوى | مرفقات البريد الإلكتروني، الروابط | عمليات الاستغلال والتنزيلات من Drive | مرفقات البريد الإلكتروني، الروابط |
| هدف ملحوظ | المؤسسات المالية | المؤسسات المالية | المنظمات والأفراد |
| أول ظهور | 2014 | 2007 | 2014 |
مع استمرار تطور التكنولوجيا، ستتطور أيضًا قدرات أحصنة طروادة المصرفية مثل Dridex. يحمل المستقبل تطورات محتملة في تقنيات التهرب وآليات التخفي واستغلال التقنيات الناشئة. ومن الضروري للباحثين والمنظمات الأمنية أن يظلوا يقظين وأن يكيفوا دفاعاتهم باستمرار لمواجهة هذه التهديدات المتطورة.
كيف يمكن استخدام الخوادم الوكيلة أو ربطها بـ Dridex
يمكن أن تلعب الخوادم الوكيلة دورًا مهمًا في التخفيف من مخاطر الإصابة بـ Dridex. من خلال توجيه حركة مرور الويب من خلال خادم وكيل، يمكن للمؤسسات تصفية ومنع الوصول بشكل فعال إلى النطاقات الضارة المعروفة وعناوين IP المرتبطة بخوادم Dridex C&C. بالإضافة إلى ذلك، يمكن للخوادم الوكيلة ذات ميزات الأمان المتقدمة، مثل تصفية محتوى الويب والتحليل القائم على السلوك، المساعدة في اكتشاف الأنشطة المتعلقة بـ Dridex وحظرها في الوقت الفعلي.
علاوة على ذلك، بالنسبة للأفراد المهتمين بأمنهم عبر الإنترنت، فإن استخدام خادم وكيل حسن السمعة يمكن أن يضيف طبقة إضافية من الحماية عند الوصول إلى الخدمات المصرفية عبر الإنترنت. يمكن أن تساعد الخوادم الوكيلة في إخفاء عنوان IP الحقيقي للمستخدم، مما يجعل من الصعب على المهاجمين استهدافه مباشرة.
روابط ذات علاقة
لمزيد من المعلومات حول Dridex والوقاية منه:
- الرابط 1: تحليل البرامج الضارة Dridex – MITRE ATT&CK
- الرابط 2: حصان طروادة Dridex المصرفي – US-CERT
- الرابط 3: كيفية الحماية من برامج Dridex الضارة – Norton
يرجى ملاحظة أن الروابط المقدمة هي للأغراض التعليمية فقط، وأن OneProxy لا يؤيد أو يدعم أي أنشطة غير قانونية أو غير أخلاقية تتعلق بـ Dridex أو أي برامج ضارة أخرى.
