FUNKTIONSWEISE
Die Dridex-Malware kann auf verschiedene Arten verbreitet werden. Einige häufige Beispiele sind: Phishing-E-Mails, Exploit-Kits und die Verbreitung als Infektion der zweiten Stufe durch Malware anderer Malware-Familien wie Emotet.
Sobald Dridex auf einem infizierten Computer ausgeführt wird, nutzt es Prozessinjektion und Hooking, um Zugriff auf Screenshots und Tastenanschlagsinformationen zu erhalten. Es kann auch Informationen von Webbrowsern sammeln, vom Angreifer ferngesteuert werden und andere Malware herunterladen und ausführen. Dridex verwendet häufig Web-Injection-Module, die Man-in-the-Browser-Angriffe durchführen und es den Cyberkriminellen ermöglichen, Zugangsdaten zu Bankkonten, E-Mails und sozialen Medien zu stehlen.
Entwicklung der Dridex-Malware
Die Dridex-Malware begann als Banking-Malware Trojaner, das Anmeldedaten für Online-Banking-Plattformen von infizierten Computern sammelt. Dies ist zwar weiterhin ein zentraler Bestandteil seiner Funktionalität, und die meisten Dridex-Angriffe sind es auch richtet sich an die Finanzdienstleistungsbranche, es hat seine Fähigkeiten in den letzten Jahren erweitert.
Jetzt verfügt Dridex auch über Infostealing- und Botnet-Funktionen, ähnlich wie TrickBot und Qbot. Auch wenn die Malware im Vergleich zu diesen Mitbewerbern rückläufig zu sein scheint, befindet sie sich immer noch in einer aktiven Entwicklung. Im September 2021 erscheint eine neue Variante der Malware wurde entdeckt Dies erweiterte die Möglichkeiten der Malware zum Informationsdiebstahl und wurde in einer neuen Phishing-Kampagne verwendet, die schädliche Excel-Dokumente übermittelte. Dridex war im Dezember 2021 auch führend unter Malware, die die Log4J Schwachstelle ausnutzte.
So schützen Sie sich vor Dridex-Malware
Dridex vereint die Funktionalität eines Banking-Trojaners, einer Botnet-Malware und eines Infostealers und wird auf verschiedene Arten verbreitet. Zu den Methoden, mit denen sich eine Organisation vor einer Dridex-Infektion schützen und deren Auswirkungen bewältigen kann, gehören:
- Anti-Phishing Protection: Dridex wird hauptsächlich über Phishing-Kampagnen innerhalb eines bösartigen Anhangs verbreitet. Um zu verhindern, dass die Malware Unternehmenssysteme erreicht, sind Anti-Phishing-Lösungen erforderlich, die die Malware in einer Sandbox-Umgebung analysieren und identifizieren können, bevor sie die Posteingänge der Mitarbeiter erreicht.
- Content Disarm and Reconstruction (CDR): Dridex wird häufig mithilfe von Microsoft Office-Makros in bösartige Dokumente eingebettet. Mit CDR können schädliche Funktionen aus einem Dokument entfernt werden, bevor die bereinigte Version an den vorgesehenen Empfänger gesendet wird.
- Update- und Patch-Management: Neben Phishing-Angriffen verbreitet sich Dridex auch durch Ausnutzung ungepatchter Schwachstellen wie Log4J. Die zeitnahe Installation von Updates und Patches kann dazu beitragen, anfällige Systeme vor Ausnutzung und Infektion durch Dridex zu schützen.
- Endpoint Detection and Response (EDR): Sobald Dridex-Malware auf einem System vorhanden ist, nutzt sie verschiedene Techniken, um vertrauliche Informationen zu stehlen und andere bösartige Funktionen auszuführen. Eine EDR-Lösung kann diese Aktionen identifizieren und den Prozess zur Behebung der Infektion einleiten.
- Mehrstufige Authentifizierung (MFA): Dridex-Malware soll die Konten von Mitarbeitern übernehmen, indem sie deren Anmeldedaten von einem kompromittierten Computer stiehlt. Durch die Durchsetzung des Einsatzes von MFA im gesamten Unternehmen wird es für einen Angreifer schwieriger, die von der Malware gestohlenen Anmeldeinformationen zu verwenden.
- Geringste Zugriffsrechte: Ein erfolgreicher Dridex-Angriff führt dazu, dass der Angreifer die Kontrolle über ein oder mehrere Unternehmenskonten erlangt. Wenn eine Organisation Zero-Trust-Prinzipien befolgt und die geringsten Rechte implementiert hat, werden die Auswirkungen dieser kompromittierten Konten minimiert.
- Überwachung des Kontoverhaltens: Erlangt ein Angreifer Zugriff auf Unternehmenskonten, missbraucht er diesen Zugriff zur Verwirklichung seiner Ziele. Durch die Überwachung des Verhaltens von Unternehmenskonten kann eine Organisation Anomalien erkennen, die auf ein kompromittiertes Konto hinweisen könnten.
- Employee Security Training: Phishing-Kampagnen, wie sie zur Verbreitung von Dridex verwendet werden, basieren darauf, den Empfänger dazu zu verleiten, die Malware auszuführen. Durch die Schulung der Mitarbeiter, Phishing-Angriffe zu erkennen und richtig darauf zu reagieren, verringert sich das Risiko, das diese für die Cybersicherheit des Unternehmens darstellen.
Wie kann Dridex-Malware entfernt werden?
Dridex ist eine hochentwickelte Malware, die so konzipiert ist, dass sie sich der Erkennung entzieht und schwer zu entfernen ist. Gelingt es nicht, die Malware vollständig von einem infizierten System zu entfernen, kann dies zu einer erneuten Infektion führen. Aus diesem Grund ist der beste Weg, Dridex-Malware zu entfernen, die Verwendung einer Endgerätesicherheit-Lösung. Diese Tools können sicherstellen, dass die Malware vollständig von einem infizierten Computer entfernt wird.
Dridex-Erkennung und -Schutz mit Check Point
Dridex stellt mit seinen Infostealer-, Banking-Trojaner- und Botnet-Funktionen eine erhebliche Bedrohung für Unternehmensdaten und Cybersicherheit dar. Weitere Informationen zu Dridex und den anderen führenden Malware-Bedrohungen, mit denen Unternehmen konfrontiert sind, finden Sie im Cybersicherheitsbericht 2022 von Check Point Research.
Der Schutz vor Dridex und anderer Malware erfordert eine starke Endgerätesicherheit, die neuartige und aufkommende Bedrohungen erkennen kann. Erfahren Sie mehr darüber, wie Harmony Endpoint kann dazu beitragen, das Gerät Ihrer Organisation zu schützen eine kostenlose Demo anfordern.
Feedback