Независимый исследователь, автор блога MalwareTech, заметил, что операторы известного банкера Dridex изменили почерк. Так, в последнее время спам, распространяющий троянца, все чаще исходит с легитимных сайтов, которые были скомпрометированы злоумышленниками.
Раньше операторы банкера использовали для распространения трояна ботнет Necurs, однако, судя по всему, сейчас операторы малвари испытывают новую тактику. Исследователь пишет, что из-за изменения паттерна вредоносный спам снова обходит фильтры.
Еще одно изменение, тоже призванное обмануть фильтры, это использование защищенных паролем документов.
«Вредоносные RTF-файлы (документы Word) защищены паролем, который приводится прямо в письме. Это не дает автоматическим системам извлечь и просканировать содержимое вложения на предмет вредоносного кода, так как большинство из них неспособны обнаружить пароль и расшифровать документ», — пишет исследователь.
Но если автоматика не может заглянуть внутрь такого файла, это без труда может сделать пользователь: достаточно открыть файл с помощью приведенного в письме пароля. Как только жертва запустит такой RTF-файл, ее попросят разрешить работу макросов (для этого, как обычно, используется социальная инженерия). Если пользователь попался на удочку атакующих и включил макросы, вредоносный скрипт скачивает с управляющего сервера лоадер Dridex, который тоже отличается от предыдущих версий. Исследователь пишет, что перед началом работы лоадер запускает интерфейс командной строки и 250 раз пингует один из DNS-серверов Google. Судя по всему, таким образом авторы трояна реализовали отложенный старт работы малвари, потому что после Dridex запускается, независимо от результатов пингов,
В заключении автор MalwareTech пишет, что в целом эта кампания не сильно отличается от обычных компаний Dridex, но, тем не менее, похоже, что в данном случае операторы трояна нацелились на более защищенные цели. Похоже, что эта версия Dridex ориентирована на заражение корпоративных систем, которые защищены не в пример лучше обычных пользователей.
В почтовом агенте, входящем в комплект многих Linux-дистрибутивов, устранена уязвимость, позволяющая удаленно вызвать состояние отказа в обслуживании (DoS), а потенциально — даже выполнить на сервере вредоносный код.
Патч включен в состав сборки Exim 4.99.1, о доступности которой было объявлено вчера вечером, 17 декабря.
Уязвимость CVE-2025-67896 связана с ошибкой переполнения буфера в куче, которая может возникнуть при работе с базой данных (реализацией SQLite). Проблема появилась (.TXT) из-за использования содержимого записей без предварительной валидации, а точнее, из-за отсутствия проверки значения bloom_size.
По мнению участников опенсорсного проекта, данная уязвимость была привнесена с выпуском Exim 4.99 и проявляется при включенной поддержке SQLite.
Чтобы добиться успеха, злоумышленнику сначала придется проэксплуатировать другую уязвимость, — критическую CVE-2025-26794 (SQLi). Ее устранили пару месяцев назад, но патч оказался неполным.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
