Dridex научился обходить спам-фильтры


MalwareTechНезависимый исследователь безопасности из MalwareTech зафиксировал спам-рассылку, которая осуществлялась с скомпрометированных злоумышленниками web-сайтов. В результате изучения удалось установить, что операторы банковского трояна Dridex экспериментируют с новыми техниками распространения вредоноса.

В данной кампании киберпреступниками применялись два новых способа доставки Dridex:

  • первый - для рассылки спама злоумышленники используют скомпрометированные серверы. Новая техника распространения Dridex отнимет у ИБ-экспертов некоторое время на обнаружение кампании и, соответственно, на маркировку спама;
  • второй – непосредственно спам-письма. Вредоносные сообщения содержат зашифрованный документ в формате rtf и ключ для дешифровки. Благодаря шифрованию спам эффективно обходит фильтры, поскольку большинство автоматизированных систем, сканирующих вложения на наличие вредоносного кода, не способны расшифровывать документы.


При открытии пользователем файла, появляется сообщение о необходимости активировать макросы. Эти макросы загружают Dridex Loader, также отличающийся от используемого в предыдущих кампаниях. Загрузчик запускает интерфейс командной строки и до начала вредоносной активности 250 раз проверяет на доступность один из бесплатных DNS-серверов Google.


Обновлено (29.09.2016 22:07)