Хакеры используют новую технику распространения Dridex для обхода спам-фильтров
По данным независимого исследователя безопасности MalwareTech, операторы банковского трояна Dridex экспериментируют с новыми техниками распространения вредоноса. Эксперт зафиксировал волну спама, источником которого являлись легитимные, но скомпрометированные злоумышленниками web-сайты.
В данной кампании киберпреступники применяли два новых способа доставки Dridex. Если раньше троян распространялся с помощью ботнета из взломанных компьютеров Necurs, то теперь для рассылки спама злоумышленники используют скомпрометированные серверы. Переход на новую технику распространения Dridex отнимет у ИБ-экспертов некоторое время на обнаружение кампании и соответствующую маркировку спама.
Вторая техника – непосредственно спам-письма. Вредоносные сообщения содержат зашифрованный документ в формате rtf и ключ для дешифровки. Благодаря шифрованию спам эффективно обходит фильтры, так как большинство автоматизированных систем, сканирующих вложения на наличие вредоносного кода, не способны расшифровывать документы.
Когда пользователь с помощью ключа открывает файл, появляется сообщение о необходимости активировать макросы, которые затем загружают Dridex Loader, также отличающийся от используемого в предыдущих кампаниях. Загрузчик запускает интерфейс командной строки и до начала вредоносной активности 250 раз проверяет на доступность один из бесплатных DNS-серверов Google.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш