Банковский троян Dridex использует FTP сайты в новой вредоносной кампании

5

Банковский троян Dridex использует FTP сайты в новой вредоносной кампании

Программа похищает учетные данные для online-банкинга, которые операторы вредоноса затем могут использовать для кражи средств с банковского счета жертвы.


Исследователи безопасности из компании Forcepoint сообщили
о новой фишинговой кампании, в ходе которой злоумышленники используют скомпрометированные FTP-ресурсы для распространения банковского трояна Dridex.

Dridex был впервые обнаружен в 2014 году , пик его активности пришелся на 2014-2015 годы, а в 2016-2017 годах исследователи зафиксировали
спад количества операций, осуществляемых с помощью данного вредоноса.

Троян распространяется посредством фишинговых писем, обманом заставляя жертву загрузить и выполнить вредоносные макросы, скрытые в документах Microsoft Office. Оказавшись на системе, Dridex похищает учетные данные для online-банкинга, которые операторы вредоноса затем могут использовать для кражи средств с банковского счета жертвы.

Как правило, злоумышленники используют HTTP для загрузки вредоносной полезной нагрузки, однако в данной кампании был выбран несколько иной метод, отметили исследователи. Для распространения вредоноса хакеры используют скомпрометированные FTP сайты, раскрывая в процессе учетные данные уязвимых доменов.

Кампания началась 17 января текущего года. Фишинговые письма отправлялись преимущественно на домены верхнего уровня, такие как .com, .fr и .co.uk. Наибольшее количество жертв зафиксировано во Франции, Великобритании и Австралии.

По словам экспертов, в кампании Dridex используются два типа документов: файл XLS с вредоносным макросом, который загружает троян на устройство, а также файл DOC, эксплуатирующий уязвимость в Dynamic Data Exchange (DDE) для выполнения команд.

«Судя по всему, атакующие не боятся раскрыть учетные данные скомпрометированных FTP сайтов […] Это может указывать на то, что у злоумышленников имеется богатый запас скомпрометированных учетных записей», – отметили исследователи.

Как полагают специалисты, данная кампания Dridex может быть связана с ботнетом Necurs, поскольку домены, используемые для распространения вредоноса, были замечены в предыдущих кампаниях Necurs.

«В данном случае использовались FTP сайты. Предположительно, это сделано в попытке предотвратить обнаружение механизмами безопасности электронной почты, которые могут считать FTP-серверы надежными», – добавили эксперты.