Хакеры используют фишинговые письма для рассылки вредоносного ПО Dridex

В прошлом месяце эксперты обнаружили новый троян Dridex, похищающий банковские данные жертв. Его характерной особенностью был путь инфицирования – для заражения ПК требовалось открыть документ Word со встроенным вредоносным макросом. Вместе с этим активизировалась активность злоумышленников, рассылающих фишинговые письма с инфицированными вложениями.

Эксперты проанализировали одну из фишинговых кампаний, связанных с рассылкой Dridex. Она была активна примерно три недели назад, а для передачи сообщений использовались ботнеты. К сообщениям прикреплялись инфицированные документы Word, при запуске которых выполнялась загрузка Dridex на ПК жертв.

Как рассказывает аналитик Rackspace Брэд Дункан (Brad Duncan) на сайте SANS Internet Storm Center, 11 ноября нынешнего года он получил примерно 60 писем с темой «Получен лишний платеж» (Duplicate payment received). Сообщения рассылались с различных хостов, находящихся под контролем ботнета. В них содержались HTML-компоненты, а также изображения с подписью.

Открыв вложение к письму в виде документа Word, пользователь заражал свой компьютер вредоносным ПО. Файл содержал макрос, с помощью которого начиналась загрузка и установка Dridex. Отметим, что угроза касается лишь компьютеров под управлением ОС Windows.

Вложения имели разные хеш-суммы, что свидетельствует о том, что фишеры использовали по меньшей мере 3 вариации документов Word. По словам Дункана, на момент анализа вредоносное ПО загружалось из блока IP-адресов 62.76.185.0/24.