Банковский троян Dridex скрывается в защищенных паролями документах

Александр Панасенко 29 Сентября 2016 - 09:49

...

Банковский троян Dridex скрывается в защищенных паролями документах

Независимый исследователь, автор блога MalwareTech, заметил, что операторы известного банкера Dridex изменили почерк. Так, в последнее время спам, распространяющий троянца, все чаще исходит с легитимных сайтов, которые были скомпрометированы злоумышленниками.

Раньше операторы банкера использовали для распространения трояна ботнет Necurs, однако, судя по всему, сейчас операторы малвари испытывают новую тактику. Исследователь пишет, что из-за изменения паттерна вредоносный спам снова обходит фильтры.

Еще одно изменение, тоже призванное обмануть фильтры, это использование защищенных паролем документов.

«Вредоносные RTF-файлы (документы Word) защищены паролем, который приводится прямо в письме. Это не дает автоматическим системам извлечь и просканировать содержимое вложения на предмет вредоносного кода, так как большинство из них неспособны обнаружить пароль и расшифровать документ», — пишет исследователь.

Но если автоматика не может заглянуть внутрь такого файла, это без труда может сделать пользователь: достаточно открыть файл с помощью приведенного в письме пароля. Как только жертва запустит такой RTF-файл, ее попросят разрешить работу макросов (для этого, как обычно, используется социальная инженерия). Если пользователь попался на удочку атакующих и включил макросы, вредоносный скрипт скачивает с управляющего сервера лоадер Dridex, который тоже отличается от предыдущих версий. Исследователь пишет, что перед началом работы лоадер запускает интерфейс командной строки и 250 раз пингует один из DNS-серверов Google. Судя по всему, таким образом авторы трояна реализовали отложенный старт работы малвари, потому что после Dridex запускается, независимо от результатов пингов, сообщает xakep.ru.

В заключении автор MalwareTech пишет, что в целом эта кампания не сильно отличается от обычных компаний Dridex, но, тем не менее, похоже, что в данном случае операторы трояна нацелились на более защищенные цели. Похоже, что эта версия Dridex ориентирована на заражение корпоративных систем, которые защищены не в пример лучше обычных пользователей.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Сайт и приложение РЖД атакуют

Яков Шпунт 06 Июня 2025 - 11:26

Атаки на сайты DDoS-атаки Домашние пользователи Государство

Официальный сайт и мобильное приложение АО «РЖД» перестали открываться. В компании объяснили перебои DDoS-атакой. При этом, как подчёркивают в РЖД, инцидент не повлиял на работу касс, в том числе на вокзалах и станциях — они продолжают функционировать в штатном режиме.

«Наш сайт и мобильное приложение подверглись DDoS-атаке. Мы прилагаем все усилия, чтобы как можно быстрее восстановить их работу», — говорится в сообщении официального телеграм-канала РЖД. — «Приносим извинения за доставленные неудобства».

Согласно данным сервиса Downdetector.su, около 11:00 по московскому времени был зафиксирован резкий всплеск жалоб на работу как основного сайта РЖД, так и Сервисного портала компании. При этом различается география обращений: если сбои на основном сайте отмечались равномерно по всей стране, то в случае Сервисного портала большинство жалоб поступило с Дальнего Востока, прежде всего из Сахалинской области.

У автора этих строк сайт РЖД открывался, но медленно и с ошибками отображения: страница загружалась не полностью, верстка была искажена, многие сервисы — недоступны. Также сообщается, что мобильное приложение запускается, но оформить билеты через него невозможно.