Waterloo, Canada, Cyberthreat.id - Periset keamanan siber baru-baru ini menemukan penyebaran varian baru trojan Dridex. Trojan ini merupakan salah satu malware yang paling cepat perubahannya dan dalam jangka waktu tertentu, sering ditemukan adanya fitur canggih baru di strukturnya. Varian baru ini dilaporkan tidak terdeteksi oleh beberapa program antivirus. Perusahaan keamanan eSentire yang melakukan analisis ekstensif terhadap varian ini menyatakan bahwa infrastruktur library malware ini bisa berubah seiring dengan waktu.

Periset malware, Brad Duncan, yang pertama kali menemukan varian ini pada 17 Juni lalu. Ada kode Javascipt yang diembed dalam template XSL untuk mengaktifkan Dridex. Lalu, menggunakan data dari VirusTotal yang diunggah Duncan, tim eSentire Threat Intelligence menemukan fakta bahwa hanya 6 dari 60 software antivirus yang bisa mendeteksi adanya perilaku mencurigakan. Lalu 12 belas jam kemudian, 16 antivirus sudah bisa mengidentifikasi perilaku trojan ini yang berarti antivirus tersebut sudah mulai meng-update dirinya terhadap varian baru Dridex.

Mirip Emotet, trojan perbankan yang ngetop sebelum TrickBot, Dridex memiliki sejumlah transformasi seiring perkembangannya selama satu dekade terakhir. Pertama kali muncul di 2011, Dridex memiliki fitur konfigurasi dinamis, injeksi web, dan injeksi perangkat USB. Trojan ini menargetkan informasi perbankan. Fitur pada transformasi terakhirnya adalah augmentasi, termasuk transisi ke kode XML, hashing algorithm, enkripsi peer-to-peer, enkripsi peer-to-Command and Control. "File .dll Dridex adalah file .dll 64 bit yang menggunakan nama-nama yang dimuat sistem Windows yang sahih. Lokasi file, namanya, dan hash SHA256 yang digunakannya berubah setiap kali korban log on ke Windows yang terinfeksi," Duncan menjelaskan polimorfisme Dridex.

Trojan ini disebarkan melalui spam email yang melampirkan dokumen Word yang sudah berisi kode macro. Kode ini menyamarkan diri sebagai aplikasi yang diperbolehkan Windows untuk menghindari filter Windows Script Host. Kode jahat ini memanfaatkan kelemahan WMI command-line (WMIC) yang memiliki kelonggaran terhadap kode di XLS. Saat macro dijalankan (pengguna mengklik "enable macro" saat membuka dokumen), kode ini akan mengunduh servern.exe yang menjadi instaler Dridex. Kode Javascript ini kemudian menghapus dirinya sendiri.

Periset eSentire mencatat bahwa infratsruktur command and control yang digunakan varian baru ini terus berkembang. Aktor di belakang Dridex diyakini masih terus mengubah trojan ini untuk menghindari deteksi antivirus. Pencegahan paling pertama tentu saja kewaspadaan terhadap lampiran email, terutama .doc dan .xls, yang bisa jadi disusupi kaki tangan Dridex.