Троян Dridex использует новые техники обхода UAC

Исследователи компании Flashpoint обнаружили новую вредоносную кампанию с использованием известного банковского трояна Dridex. Для обхода контроля учетных записей пользователей (User Account Control, UAC) вредонос использует новые техники.

Dridex был впервые обнаружен в 2014 году, пик его активности пришелся на 2014-2015 годы, а в прошлом году исследователи фиксировали лишь небольшие операции с применением трояна. В ходе последней кампании против финансовых организаций Великобритании эксперты Flashpoint обнаружили используемую Dridex новую технику обхода UAC.

Как пояснили эксперты, для загрузки троян использует дефолтный исполняемый файл recdisc.exe для создания диска восстановления Windows. Для коммуникации с первой ступенью C&C-инфраструктуры Dridex теперь использует svchost и spoolsrv.

Вредонос распространяется с помощью фишинговых писем. Письма содержат документ Word со встроенными макросами, загружающими и выполняющими Dridex на системе жертвы. После заражения компьютера троян удаляет себя из текущего местоположения в папку %TEMP%.

Для обхода UAC вредонос создает директорию в WindowsSystem326886, а затем копирует легитимный код из WindowsSystem32recdisc.exe в WindowsSystem326886. Далее Dridex копирует себя в директорию %APPDATA%LocalTemp в виде файла tmp и добавляется в WindowsSystem326886SPP.dll. Вредонос удаляет wu*.exe ;и po*.dll из WindowsSystem32 , выполняет recdisc.exe и загружает себя как SPP.dll с привилегиями администратора.