Dridex Использует для атаки скомпрометированные ftp-сервисы
Специалисты по кибербезопасности из Forcepoint зафиксировали новую компанию по распространению банковского трояна Dridex. Целью атаки стали адреса электронной почты, которые принадлежат пользователям из Европы и Австралии. Более половины писем получили адресаты, зарегистрированные в зоне .com, однако под угрозой оказались и национальные домены Франции, Англии и ряда других стран.
В качестве источника вредоносного кода используются файлы, размещенные на FTP-серверах. Каждое письмо содержит ссылку либо на документ Word с интегрированным в него скриптом для динамического обмена данными (DDE), либо на таблицу Excel с макросом для распаковки трояна.
Это не первый случай использования DDE и файлов MS Office для внедрения банкера. В апреле прошлого года Microsoft уже выпускала патч для устранения уязвимости, которую использовал Dridex.
Судя по тому, что FTP-серверы, которые используются для хранения зараженных файлов, работают на различном ПО и никак не связаны между собой, злоумышленники применяют для атаки базу взломанных аккаунтов.
Авторы рассылки не пытаются скрывать адрес расположения документов и не беспокоятся о возможной компрометации используемых серверов. Скорее всего, доступ к FTP-аккаунтам хакеры получили в ходе отдельной атаки, а взломанных профилей достаточно, чтобы использовать каждый из них лишь единожды.
Чтобы придать большую достоверность рассылаемым письмам, в качестве имени отправителя применяются часто используемые в переписке значения, такие как admin@, billing@, help@, info@ и т.д. Доставкой зараженных сообщений, по всей видимости, занимается ботнет Necurs, который уже применялся для распространения этого эксплойта.
Dridex — один из самых успешных банкеров в мире. Нанесенный им ущерб оценивается в десятки миллионов долларов, при том что первая версия программы появилась в 2011 году. С тех пор вредоносный код неоднократно изменялся, а методы заражения становились все более и более сложными.
Особенностью новой кампании является использование взломанных FTP-аккаунтов. Очевидно, злоумышленники рассчитывают, что ссылки на «надежные» серверы позволят обойти системы защиты почтовых шлюзов и антивирусов. Стоит отметить, что относительно небольшой размер кампании — около 9500 писем — может также свидетельствовать о том, что это лишь тестовая атака для обкатки новой технологии распространения.