События

Банковский троян Dridex использует FTP сайты в новой вредоносной кампании

Исследователи безопасности из компании Forcepoint сообщили о новой фишинговой кампании, в ходе которой злоумышленники используют скомпрометированные FTP-ресурсы для распространения банковского трояна Dridex.

Dridex был впервые обнаружен в 2014 году , пик его активности пришелся на 2014-2015 годы, а в 2016-2017 годах исследователи зафиксировали спад количества операций, осуществляемых с помощью данного вредоноса.

Троян распространяется посредством фишинговых писем, обманом заставляя жертву загрузить и выполнить вредоносные макросы, скрытые в документах Microsoft Office. Оказавшись на системе, Dridex похищает учетные данные для online-банкинга, которые операторы вредоноса затем могут использовать для кражи средств с банковского счета жертвы.

Как правило, злоумышленники используют HTTP для загрузки вредоносной полезной нагрузки, однако в данной кампании был выбран несколько иной метод, отметили исследователи. Для распространения вредоноса хакеры используют скомпрометированные FTP сайты, раскрывая в процессе учетные данные уязвимых доменов.

Кампания началась 17 января текущего года. Фишинговые письма отправлялись преимущественно на домены верхнего уровня, такие как .com, .fr и .co.uk. Наибольшее количество жертв зафиксировано во Франции, Великобритании и Австралии.

По словам экспертов, в кампании Dridex используются два типа документов: файл XLS с вредоносным макросом, который загружает троян на устройство, а также файл DOC, эксплуатирующий уязвимость в Dynamic Data Exchange (DDE) для выполнения команд.

«Судя по всему, атакующие не боятся раскрыть учетные данные скомпрометированных FTP сайтов […] Это может указывать на то, что у злоумышленников имеется богатый запас скомпрометированных учетных записей», - отметили исследователи.

Как полагают специалисты, данная кампания Dridex может быть связана с ботнетом Necurs, поскольку домены, используемые для распространения вредоноса, были замечены в предыдущих кампаниях Necurs.

«В данном случае использовались FTP сайты. Предположительно, это сделано в попытке предотвратить обнаружение механизмами безопасности электронной почты, которые могут считать FTP-серверы надежными», - добавили эксперты.

Источник

Автор: Сергей Куприянов
22.01.2018 (11:17)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2019

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.