Un astfel de virus a fost folosit de un cetăţean al Republicii Moldova, Andrei Ghinkul, în vârstă de 30 de ani, care a fost arestat pe 28 august în Cipru şi urmează să fie extrădat în SUA.
Potrivit The Guardian, moldoveanul coordona o rețea de hackeri care furau date bancare şi alte informaţii de pe calculatoare infectate.
Biroul Federal de Investigaţii a estimat o pierdere directă de cel puţin 10 milioane de dolari produsă în Statele Unite şi atribuită acestei reţele "botnet".
Potrivit unui comunicat al FBI, în decembrie 2011 rețeaua coordonată de Ghinkul ar fi încercat să transfere aproape 1 milion de dolari de pe contul unei şcoli din Pennsylvania într-o bancă din Kiev, iar în august 2012, cetăţeanul moldovean ar fi sustras 2,1 milioane de dolari dintr-un cont al unei companii petroliere americane, banii ajungând într-o bancă din Krasnodar, Rusia. O lună mai târziu, alte 1,3 milioane de dolari au fost sustraşi de pe conturile aceleiaşi companii.
"Relaţiile noastre cu omologii din întreaga lume ne ajută să oprim hackerii. Reţeaua condusă de infractori din Moldova şi din altă parte a adus prejudicii cetăţenilor americani. Cu partenerii noştri de aici şi din alte state vom anihila aceste scheme criminale transfrontaliere", se mai arată în comunicatul Biroului Federal de Investigaţii.
Atac cibernetic de proporții în Marea Britanie
În Marea Britanie utilizatorii de internet sunt avertizaţi să se protejeze de atacurile cibernetice, după ce prin metode similare ar fi fost furate 27 de milioane de euro din conturile bancare britanice. Specialistii britanici și americani au reușit într-un final să întrerupă fluxul de date ce le-a adus piraților cibernetici câștiguri colosale.
Agenţia Naţională pentru Crime a informat că virusul este folosit de infractorii care operează pe internet pentru a afla detaliile conturilor bancare ale utilizator de home banking din toată Marea Britanie.
"Au folosit un virus silențios. Adică nu îți dai seama că ai calculatorul infectat. Este vorba despre un virus ce dispune de mai multe căi de a obține acces la datele tale bancare", a declarat Simon Wood, unul dintre anchetatori.
DRIDEX a vizat și băncile din România
Utilizatorii serviciilor de online banking din România au fost, în luna august a acestui an, ținta exclusivă a unui nou val de mesaje spam trimise de către Dridex.
Specialiștii Bitdefender au avertizat, la acea vreme, că troianul bancara încercat să fure datele de autentificare ale clienților a două bănci autohtone.
Pentru a captura datele de autentificare, troianul a folosit diferite module: pentru instituția bancară care folosea tastatura virtuală la introducerea parolei, troianul făcea capturi de ecran la fiecare click de mouse. Pentru cea de-a doua bancă, troianul a folosit un modul care încerca să injecteze cod în pagina de autentificare.
Cum te ferești de DRIDEX
Dridex este un virus relativ nou, evoluat din malware-ul Cridex, care, la rândul său, este succesorul cunoscutului troian Zeus.
Virusul se propagă fie printr-un fișier executabil atașat la mesaje spam, fie prin link-uri care descarcă automat virusul odată ce sunt accesate. Noua campanie folosește fișiere Word și Excel care includ cod de tip macro. Acestea instalează un downloader generic pentru a descărca și executa Dridex. Mesajele par să fie trimise, în perioada 10-17 august 2015, de la companii românești și pretind să conțină documente financiare importante pentru utilizator. Dacă utilizatorul deschide fișierul Word și activează funcționalitatea macro (dezactivată automat de programul Word pentru a evita riscurile de securitate), aplicația Word va lansa automat procesul de descărcare a virusului. Troianul Dridex e un fișier DLL care se injectează în procesul explorer.exe, de unde va monitoriza activitatea bancară și de navigare a utilizatorului, indiferent de browserul folosit: Firefox, Google Chrome sau Internet Explorer.
Dridex, greu de identificat pe un calculator deja infectat
Pentru a rămâne nedepistat, virusul se adaugă la programele care pornesc odată cu sistemul de operare doar înaintea închiderii calculatorului. După ce PC-ul este repornit, virusul se elimină din lista de programe ce pornesc automat, ceea ce îl face aproape invizibil. În cazul unei pene de curent sau închiderii bruște a calculatorului, virusul nu se va mai putea executa, deoarece nu se află în lista de aplicații care trebuie repornite.
Pentru a preveni infecția, utilizatorilor le este recomandat să folosească o soluție de securitate performantă și actualizată la zi și să evite să dea click pe linkuri provenite din email-uri de la expeditori necunoscuți. Dacă suspectează că sunt infectați, utilizatorii pot încerca apăsarea butonul de restart pentru a opri derularea acestuia la repornirea PC-ului. De asemenea, este bine ca aceștia să notifice instituția bancară la care au cont și să-și schimbe datele de autentificare în cel mai scurt timp posibil.
