Dridex «воскрешает» вредоносные макросы в Microsoft Word

Специалисты компании Trendlab  обнаружили  новый образец вредоносного программного обеспечения, похищающего банковские учетные данные пользователей при входе в банковскую систему. Вредонос под названием Dridex, являющийся новой версией червя Cridex, создает поля HTML, в которые необходимо ввести дополнительную информацию, в том числе и номер социального обеспечения.

Однако наибольший интерес представляет способ, которым новая разновидность инфицирует ПК жерты. Вредонос содержится в макросе документа Microsoft Word, скрытом в электронном спам-сообщении. Киберпреступники начали использовать макросы более десятилетия назад, однако после того как Microsoft усилила средства защиты против подобных атак, практика перестала быть популярной.

Как отмечает эксперт Trendlab Рена Иносенсио (Rhena Inocencio), большинство компьютеров отключают работу макроса по умолчанию. При открытии вредоносный файл предлагает пользователю активировать макрос и в случае, если активация произведена, загружает Dridex на ПК.

После установки на компьютер жертвы вредоносная программа начинает действовать, как только пользователь посещает сайт банка. Вредонос поддерживает работу с интерфейсами крупнейших банков мира, включая Bank of Scotland, Lloyds Bank, Danske Bank, Barclays, Kasikorn Bank, Santander и Triodos.

Спам сообщения, содержащие Dridex, в основном распространяются из Вьетнама, Индии, Тайваня, Южной Кореи и Китая, в то время как наиболее таргетируемыми странами являются Австралия, Великобритания и США.