Хакеры используют новую технику распространения Dridex для обхода спам-фильтров

По данным независимого исследователя безопасности MalwareTech, операторы банковского трояна Dridex экспериментируют с новыми техниками распространения вредоноса. Эксперт зафиксировал волну спама, источником которого являлись легитимные, но скомпрометированные злоумышленниками web-сайты.

В данной кампании киберпреступники применяли два новых способа доставки Dridex. Если раньше троян распространялся с помощью ботнета из взломанных компьютеров Necurs, то теперь для рассылки спама злоумышленники используют скомпрометированные серверы. Переход на новую технику распространения Dridex отнимет у ИБ-экспертов некоторое время на обнаружение кампании и соответствующую маркировку спама.

Вторая техника – непосредственно спам-письма. Вредоносные сообщения содержат зашифрованный документ в формате rtf и ключ для дешифровки. Благодаря шифрованию спам эффективно обходит фильтры, так как большинство автоматизированных систем, сканирующих вложения на наличие вредоносного кода, не способны расшифровывать документы.

Когда пользователь с помощью ключа открывает файл, появляется сообщение о необходимости активировать макросы, которые затем загружают Dridex Loader, также отличающийся от используемого в предыдущих кампаниях. Загрузчик запускает интерфейс командной строки и до начала вредоносной активности 250 раз проверяет на доступность один из бесплатных DNS-серверов Google.