Специалист ИБ- компании Rackspace Брэд Данкан (Brad Duncan) заметил, что некоторые образцы вредоносных макросов Bartalex, обнаруженные ранее в этом году, используются злоумышленниками для распространения загрузчика PonyLoader, который в свою очередь, загружает популярный банковский троян Dyre. Как отмечает специалист, главным образом Bartalex распространяется через спам-рассылку.
Эксперт проанализировал письмо с прикрепенным к нему поддельным документом Microsoft Word, якобы отправленном от сервиса расчета заработной платы ADP с уведомлением о том, что платеж жертвы, осуществленный через систему ACH (Automated Clearing House), был отклонен. По словам Данкана, при ближайшем рассмотрении заголовка электронного письма становится ясно, что ADP не является отправителем сообщения и, в случае, если пользователь откроет файл, макрос будет запущен.
Используя инструменты сетевого анализа для проверки траффика, сгенерированного Bartalex при попытках инфицирования, Данкан обнаружил некоторые признаки распространения троянов Pony и Dyre вредоносным ПО.
Троян Pony используется злоумышленниками для похищения биткоинов, паролей и других учетных данных. Однако чаще всего он применяется в качестве инструмента для загрузки на компьютеры жертв различных вредоносов (как правило, Gameover Zeus). Напомним, в конце апреля нынешнего года исследователи безопасности сообщили о вредоносной кампании, направленной на ведущие финансовые учреждения США, включая банк JP Morgan, в ходе которой преступники распространяли Bartalex через ссылки Dropbox. (Новости/NovostIT)