Банковский троян Dridex скрывается в защищенных паролями документах
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Банковский троян Dridex скрывается в защищенных паролями документах

Александр Панасенко 29 Сентября 2016 - 09:49
...
Банковский троян Dridex скрывается в защищенных паролями документах

Независимый исследователь, автор блога MalwareTech, заметил, что операторы известного банкера Dridex изменили почерк. Так, в последнее время спам, распространяющий троянца, все чаще исходит с легитимных сайтов, которые были скомпрометированы злоумышленниками.

Раньше операторы банкера использовали для распространения трояна ботнет Necurs, однако, судя по всему, сейчас операторы малвари испытывают новую тактику. Исследователь пишет, что из-за изменения паттерна вредоносный спам снова обходит фильтры.

Еще одно изменение, тоже призванное обмануть фильтры, это использование защищенных паролем документов.

«Вредоносные RTF-файлы (документы Word) защищены паролем, который приводится прямо в письме. Это не дает автоматическим системам извлечь и просканировать содержимое вложения на предмет вредоносного кода, так как большинство из них неспособны обнаружить пароль и расшифровать документ», — пишет исследователь.

Но если автоматика не может заглянуть внутрь такого файла, это без труда может сделать пользователь: достаточно открыть файл с помощью приведенного в письме пароля. Как только жертва запустит такой RTF-файл, ее попросят разрешить работу макросов (для этого, как обычно, используется социальная инженерия). Если пользователь попался на удочку атакующих и включил макросы, вредоносный скрипт скачивает с управляющего сервера лоадер Dridex, который тоже отличается от предыдущих версий. Исследователь пишет, что перед началом работы лоадер запускает интерфейс командной строки и 250 раз пингует один из DNS-серверов Google. Судя по всему, таким образом авторы трояна реализовали отложенный старт работы малвари, потому что после Dridex запускается, независимо от результатов пингов, сообщает xakep.ru.

 

 

В заключении автор MalwareTech пишет, что в целом эта кампания не сильно отличается от обычных компаний Dridex, но, тем не менее, похоже, что в данном случае операторы трояна нацелились на более защищенные цели. Похоже, что эта версия Dridex ориентирована на заражение корпоративных систем, которые защищены не в пример лучше обычных пользователей.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

VK Workspace заблокировала 421 млн спам- и фишинговых писем за III квартал
Екатерина Быстрова 24 Октября 2025 - 19:02
СпамФишинг Корпорации АнтифишингАнтиспам
VK Workspace заблокировала 421 млн спам- и фишинговых писем за III квартал

В третьем квартале 2025 года корпоративная платформа VK Workspace предотвратила рассылку 421 миллиона спам- и фишинговых писем, направленных на компании. Благодаря этому удалось избежать кражи данных и заражения устройств вредоносными программами.

Как уточнили в компании, основную часть заблокированных сообщений составляли массовые рекламные рассылки, однако среди них было и множество фишинговых писем, имитирующих переписку с реальными организациями — в частности, логистическими компаниями, а также популярными брендами и госуслугами.

«Решения VK Workspace и Почты Mail остановили более 7,6 миллиарда спам-сообщений в третьем квартале 2025 года, направленных как на бизнес, так и на пользователей. Поэтому использование почты с продвинутой защитой от спама и фишинга становится особенно важным», — рассказал директор по информационной безопасности VK Tech Анатолий Тутынин.

По его словам, защита от фишинга и вредоносных писем в VK Workspace основана на машинном обучении и репутационных системах, которые анализируют домены отправителей. Кроме того, используется оптическое распознавание символов (OCR) — оно помогает выявлять спам, замаскированный под изображения.

В компании отмечают, что благодаря такому подходу система точнее определяет потенциальные угрозы и снижает риск того, что вредоносные письма дойдут до сотрудников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
iOS 26 и macOS Tahoe: Apple закрыла более 50 уязвимостей
Новость
iOS 26 и macOS Tahoe: Apple закрыла более 50 уязвимостей
Базис запланировал IPO на конец года
Новость
Базис запланировал IPO на конец года
Атак на память стало на 47% больше: в фокусе уязвимости браузеров
Новость
Атак на память стало на 47% больше: в фокусе уязвимости брау...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.