Dridex เป็นโทรจันการธนาคารที่โด่งดังและเป็นมัลแวร์รูปแบบหนึ่งที่ออกแบบมาเพื่อขโมยข้อมูลทางการเงินที่ละเอียดอ่อน โดยกำหนดเป้าหมายไปที่ข้อมูลประจำตัวของธนาคารออนไลน์เป็นหลัก ภัยคุกคามทางไซเบอร์ที่ซับซ้อนนี้เป็นส่วนหนึ่งของโทรจันประเภทธนาคารที่กว้างขวาง ซึ่งก่อให้เกิดความเสี่ยงที่สำคัญต่อบุคคล ธุรกิจ และสถาบันการเงินทั่วโลก Dridex มีชื่อเสียงในด้านพฤติกรรมลับๆ ล่อๆ และสร้างความสูญเสียทางการเงินจำนวนมากแก่เหยื่อตลอดหลายปีที่ผ่านมา
ประวัติความเป็นมาของต้นกำเนิดของ Dridex และการกล่าวถึงครั้งแรก
Dridex เกิดขึ้นครั้งแรกในปี 2014 ในฐานะผู้สืบทอดของโทรจันธนาคาร Cridex และ Zeus ที่น่าอับอาย เชื่อกันว่าได้รับการพัฒนาโดยกลุ่มอาชญากรไซเบอร์ที่ได้รับการจัดการอย่างดี ซึ่งอาจมาจากยุโรปตะวันออก จุดมุ่งหมายเบื้องต้นของมัลแวร์คือการกำหนดเป้าหมายสถาบันการเงินในสหรัฐอเมริกา สหราชอาณาจักร และยุโรปเป็นหลัก การกล่าวถึง Dridex ครั้งแรกมาจากนักวิจัยด้านความปลอดภัยที่ระบุมัลแวร์ในแคมเปญที่ใช้งานซึ่งกำหนดเป้าหมายลูกค้าธนาคารผ่านอีเมลขยะและไฟล์แนบที่เป็นอันตราย
ข้อมูลโดยละเอียดเกี่ยวกับ Dridex ขยายหัวข้อ Dridex
Dridex ดำเนินการโดยใช้กลยุทธ์วิศวกรรมสังคมเพื่อหลอกล่อเหยื่อให้เปิดไฟล์แนบอีเมลที่เป็นอันตราย ซึ่งมักปลอมแปลงเป็นใบแจ้งหนี้ ใบแจ้งยอดทางการเงิน หรือเอกสารอื่น ๆ ที่ดูเหมือนถูกต้องตามกฎหมาย เมื่อเปิดไฟล์แนบ โทรจันจะถูกติดตั้งบนระบบของเหยื่ออย่างเงียบๆ และเริ่มกิจกรรมลับๆ Dridex ใช้สถาปัตยกรรมแบบโมดูลาร์ ทำให้สามารถดาวน์โหลดและดำเนินการส่วนประกอบที่เป็นอันตรายเพิ่มเติม เช่น คีย์ล็อกเกอร์และตัวจับแบบฟอร์ม เพื่อขโมยข้อมูลที่ละเอียดอ่อน
หนึ่งในคุณสมบัติที่โดดเด่นที่สุดของ Dridex คือการใช้กลไกการฉีดเว็บ มันแทรกโค้ดที่เป็นอันตรายลงในเว็บเบราว์เซอร์ของเหยื่อ ซึ่งช่วยให้ดักจับและแก้ไขหน้าเว็บที่เกี่ยวข้องกับธนาคารออนไลน์ หลอกให้ผู้ใช้ป้อนข้อมูลรับรองการเข้าสู่ระบบและข้อมูลละเอียดอ่อนอื่น ๆ บนเว็บไซต์ปลอม เทคนิคนี้เรียกว่าการโจมตีแบบ "คนในเบราว์เซอร์" ทำให้เหยื่อตรวจพบกิจกรรมฉ้อโกงได้ยาก
โครงสร้างภายในของ Dridex Dridex ทำงานอย่างไร
Dridex เขียนด้วยภาษา C++ เป็นหลัก และใช้เทคนิคการหลีกเลี่ยงต่างๆ เพื่อหลีกเลี่ยงการตรวจจับโดยซอฟต์แวร์รักษาความปลอดภัย มัลแวร์ใช้วิธีการเข้ารหัสและการทำให้งงงวยเพื่อซ่อนโค้ดที่เป็นอันตรายและการสื่อสารกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C&C) ทำให้นักวิเคราะห์ความปลอดภัยวิเคราะห์และทำวิศวกรรมย้อนกลับกับโทรจันได้ยาก การสื่อสารกับเซิร์ฟเวอร์ C&C ช่วยให้ผู้โจมตีสามารถควบคุมและอัปเดตมัลแวร์บนระบบที่ติดไวรัสจากระยะไกล
ห่วงโซ่การติดเชื้อของ Dridex โดยทั่วไปเกี่ยวข้องกับขั้นตอนต่อไปนี้:
- จัดส่ง: Dridex ถูกส่งไปยังเหยื่อผ่านอีเมลขยะพร้อมไฟล์แนบที่เป็นอันตรายหรือลิงก์เพื่อดาวน์โหลดเพย์โหลดจากเว็บไซต์ที่ถูกบุกรุก
- การดำเนินการ: เมื่อเปิดไฟล์แนบหรือคลิกลิงก์ มัลแวร์จะถูกดำเนินการบนระบบของเหยื่อ ซึ่งมักใช้มาโครหรือภาษาสคริปต์อื่นๆ
- การติดเชื้อ: Dridex มีความคงทนในระบบโดยการสร้างรายการรีจิสตรีหรือใช้วิธีการอื่นเพื่อให้แน่ใจว่าระบบจะทำงานทุกครั้งที่ระบบเริ่มทำงาน
- การโจรกรรมข้อมูล: มัลแวร์เริ่มดำเนินการขโมยข้อมูลโดยจับการกดแป้นพิมพ์ ตรวจสอบกิจกรรมบนเว็บ และขโมยข้อมูลรับรองการเข้าสู่ระบบสำหรับบัญชีธนาคารออนไลน์
- คำสั่งและการควบคุม: Dridex สร้างการเชื่อมต่อกับเซิร์ฟเวอร์ C&C เพื่อรับคำสั่งและกรองข้อมูลที่ถูกขโมย
การวิเคราะห์คุณสมบัติที่สำคัญของ Dridex
Dridex มีคุณสมบัติหลักหลายประการที่ทำให้มันเป็นโทรจันการธนาคารที่ทรงพลังและเป็นภัยคุกคามที่สำคัญต่อผู้ใช้บริการธนาคารออนไลน์:
-
วิศวกรรมสังคม: Dridex อาศัยกลยุทธ์วิศวกรรมสังคมอย่างมากเพื่อหลอกผู้ใช้ให้เปิดไฟล์แนบที่เป็นอันตรายหรือคลิกลิงก์ที่เป็นอันตราย โดยใช้ประโยชน์จากพฤติกรรมของมนุษย์เพื่อเริ่มกระบวนการติดไวรัส
-
การฉีดเว็บ: การใช้การแทรกเว็บทำให้ Dridex สามารถจัดการหน้าเว็บและนำเสนอหน้าฟิชชิ่งที่น่าเชื่อถือแก่เหยื่อ เพิ่มโอกาสในการเก็บข้อมูลที่ละเอียดอ่อน
-
วิริยะ: Dridex ช่วยให้แน่ใจว่ามันจะยังคงอยู่ในระบบที่ติดไวรัสโดยการสร้างกลไกการคงอยู่ ทำให้ยากต่อการถอดออกเมื่อติดตั้งแล้ว
-
การเข้ารหัสและการทำให้สับสน: มัลแวร์เข้ารหัสการสื่อสารและสร้างความสับสนให้กับโค้ดเพื่อหลบเลี่ยงการตรวจจับและการวิเคราะห์โดยเครื่องมือรักษาความปลอดภัย
-
การออกแบบโมดูลาร์: การออกแบบโมดูลาร์ของ Dridex ทำให้สามารถดาวน์โหลดและติดตั้งส่วนประกอบเพิ่มเติม ทำให้สามารถปรับตัวได้และมีความสามารถในการพัฒนาเพื่อเอาชนะมาตรการรักษาความปลอดภัย
ประเภทของไดรเด็กซ์
Dridex ได้รับการทำซ้ำและรูปแบบต่างๆ มากมายนับตั้งแต่การค้นพบครั้งแรก เมื่อเวลาผ่านไป เวอร์ชันต่างๆ ได้ถูกปล่อยออกมา โดยแต่ละเวอร์ชันมีความสามารถที่ได้รับการปรับปรุงและเทคนิคการหลบหลีกที่ได้รับการปรับปรุง Dridex ที่โดดเด่นบางประเภท ได้แก่ :
| ตัวแปร Dridex | คำอธิบาย |
|---|---|
| ดริเด็กซ์ 220 | รูปแบบแรกที่เน้นการกำหนดเป้าหมายสถาบันการเงินในสหรัฐอเมริกาเป็นหลัก |
| ดริเด็กซ์ 270 | เวอร์ชันใหม่กว่าที่ขยายขอบเขตเป้าหมายให้ครอบคลุมสถาบันการเงินในยุโรปและสหราชอาณาจักร |
| ดริเด็กซ์ 300 | ตัวแปรขั้นสูงที่ปรับปรุงเทคนิคการฉีดเว็บและกลไกการหลีกเลี่ยงให้ดียิ่งขึ้น |
เป็นสิ่งสำคัญสำหรับผู้ใช้และองค์กรที่จะต้องระมัดระวังและใช้มาตรการรักษาความปลอดภัยที่แข็งแกร่งเพื่อป้องกันตัวแปร Dridex ที่พัฒนาอยู่เหล่านี้
สิ่งสำคัญคือต้องชี้แจงว่า Dridex เป็นเครื่องมือที่เป็นอันตรายและผิดกฎหมายที่อาชญากรไซเบอร์ใช้เพื่อขโมยข้อมูลที่ละเอียดอ่อน โดยเฉพาะที่เกี่ยวข้องกับธนาคารออนไลน์ ด้วยเหตุนี้ จึงไม่มีวิธีการที่ถูกต้องตามกฎหมายในการใช้ Dridex และความพยายามใดๆ ในการดำเนินการดังกล่าวถือเป็นสิ่งผิดกฎหมายและอยู่ภายใต้ผลทางกฎหมายที่ร้ายแรง
ปัญหาที่เกี่ยวข้องกับการใช้ Dridex มีวงกว้างและอาจส่งผลให้เกิดการสูญเสียทางการเงินอย่างมีนัยสำคัญ การโจรกรรมข้อมูลส่วนบุคคล และความเป็นส่วนตัวที่ถูกบุกรุก วิธีแก้ปัญหาที่มีประสิทธิภาพมากที่สุดคือการป้องกันการติดเชื้อตั้งแต่แรกโดยนำแนวทางปฏิบัติที่ดีที่สุดต่อไปนี้ไปใช้:
-
สุขอนามัยอีเมล: โปรดใช้ความระมัดระวังเมื่อเปิดอีเมลจากผู้ส่งที่ไม่รู้จัก และหลีกเลี่ยงการคลิกลิงก์ที่น่าสงสัยหรือดาวน์โหลดไฟล์แนบจากแหล่งที่ไม่น่าเชื่อถือ
-
ซอฟต์แวร์รักษาความปลอดภัย: ใช้ซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ที่มีชื่อเสียงซึ่งสามารถตรวจจับและบล็อกภัยคุกคามเช่น Dridex
-
อัพเดตซอฟต์แวร์: อัปเดตซอฟต์แวร์ทั้งหมด รวมถึงระบบปฏิบัติการ เว็บเบราว์เซอร์ และแอปพลิเคชันให้ทันสมัยอยู่เสมอด้วยแพตช์รักษาความปลอดภัยล่าสุด
-
การศึกษาและการตระหนักรู้: ให้ความรู้แก่พนักงานและผู้ใช้เกี่ยวกับอันตรายของอีเมลฟิชชิ่งและเทคนิควิศวกรรมสังคมเพื่อลดความเสี่ยงในการตกเป็นเหยื่อของการโจมตีดังกล่าว
ลักษณะสำคัญและการเปรียบเทียบอื่น ๆ ที่มีคำคล้ายคลึงกัน
| ลักษณะเฉพาะ | ดริเด็กซ์ | ซุส | อิโมติคอน |
|---|---|---|---|
| พิมพ์ | โทรจันธนาคาร | โทรจันธนาคาร | ตัวโหลดมัลแวร์ |
| ฟังก์ชั่นหลัก | การขโมยข้อมูลธนาคารออนไลน์ | การขโมยข้อมูลธนาคารออนไลน์ | การส่งมัลแวร์อื่นๆ |
| วิธีการติดเชื้อ | ไฟล์แนบอีเมล ลิงก์ | การใช้ประโยชน์ ดาวน์โหลดแบบไดรฟ์บาย | ไฟล์แนบอีเมล ลิงก์ |
| เป้าหมายที่โดดเด่น | สถาบันการเงิน | สถาบันการเงิน | องค์กร, บุคคล |
| การปรากฏตัวครั้งแรก | 2014 | 2007 | 2014 |
ในขณะที่เทคโนโลยีมีการพัฒนาอย่างต่อเนื่อง ความสามารถของโทรจันการธนาคารอย่าง Dridex ก็เช่นกัน อนาคตถือเป็นความก้าวหน้าที่อาจเกิดขึ้นในเทคนิคการหลบหลีก กลไกการลักลอบ และการใช้ประโยชน์จากเทคโนโลยีที่เกิดขึ้นใหม่ เป็นสิ่งสำคัญสำหรับนักวิจัยและองค์กรด้านความปลอดภัยที่จะต้องระมัดระวังและปรับการป้องกันอย่างต่อเนื่องเพื่อรับมือกับภัยคุกคามที่พัฒนาอยู่เหล่านี้
วิธีการใช้หรือเชื่อมโยงกับพร็อกซีเซิร์ฟเวอร์กับ Dridex
พร็อกซีเซิร์ฟเวอร์มีบทบาทสำคัญในการลดความเสี่ยงของการติดไวรัส Dridex ด้วยการกำหนดเส้นทางการรับส่งข้อมูลเว็บผ่านพร็อกซีเซิร์ฟเวอร์ องค์กรต่างๆ จึงสามารถกรองและบล็อกการเข้าถึงโดเมนที่เป็นอันตรายและที่อยู่ IP ที่เชื่อมโยงกับเซิร์ฟเวอร์ Dridex C&C ได้อย่างมีประสิทธิภาพ นอกจากนี้ พร็อกซีเซิร์ฟเวอร์ที่มีคุณสมบัติความปลอดภัยขั้นสูง เช่น การกรองเนื้อหาเว็บและการวิเคราะห์ตามพฤติกรรม สามารถช่วยตรวจจับและบล็อกกิจกรรมที่เกี่ยวข้องกับ Dridex ได้แบบเรียลไทม์
นอกจากนี้ สำหรับบุคคลที่กังวลเกี่ยวกับความปลอดภัยทางออนไลน์ การใช้พร็อกซีเซิร์ฟเวอร์ที่มีชื่อเสียงจะช่วยเพิ่มการป้องกันอีกชั้นหนึ่งเมื่อเข้าถึงบริการธนาคารออนไลน์ พร็อกซีเซิร์ฟเวอร์สามารถช่วยปกปิดที่อยู่ IP จริงของผู้ใช้ ทำให้ผู้โจมตีกำหนดเป้าหมายโดยตรงได้ยากยิ่งขึ้น
ลิงก์ที่เกี่ยวข้อง
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ Dridex และการป้องกัน:
- ลิงก์ 1: การวิเคราะห์มัลแวร์ Dridex – MITER ATT&CK
- ลิงก์ 2: โทรจัน Dridex Banking – US-CERT
- ลิงก์ 3: วิธีป้องกันมัลแวร์ Dridex – Norton
โปรดทราบว่าลิงก์ที่ให้ไว้มีวัตถุประสงค์เพื่อการศึกษาเท่านั้น และ OneProxy ไม่รับรองหรือสนับสนุนกิจกรรมที่ผิดกฎหมายหรือผิดจริยธรรมใด ๆ ที่เกี่ยวข้องกับ Dridex หรือซอฟต์แวร์ที่เป็นอันตรายอื่น ๆ
