Ботнет Dridex снова взломан

Ботнет Dridex или один из его сегментов, рассылающих спам с вредоносом Locky, снова был взломан. Однако теперь вместо вредоносного ПО на компьютер жертвы загружается бинарный код, содержащий только два слова «Stupid Locky» («Глупый Locky»).

Исследователи Avira получили типичное письмо с вложением JavaScript, полезная нагрузка которого должна содержать вредоносное ПО. Вместо вредоноса был загружен бинарный код, размером 12 КБ.

Процесс инфицирования устройства жертвы начинается после открытия прикрепленного файла. Внутри самого JavaScript находится алгоритм генерации доменного имени для подключения к серверу преступников и загрузки с него оригинального вредоноса Locky. Загрузчик показывает, куда копировать вредоносные файлы в инфицированной системе, а также происходит выполнение загруженного файла.

В данном случае, URL-адрес был таковым:

hxxp://cafeaparis.eu/f7****d

Однако вместо ожидаемого вредоносного ПО специалисты из Avira загрузили бинарный код с простым сообщением «Stupid Locky». По мнению исследователя из Avira Свена Карлсена (Sven Carlsen), кто-то получил доступ к C&C-серверу преступников и заменил оригинальный вредонос Locky файлом с сообщением «Stupid Locky». Ботнет Dridex был также взломан ранее в этом году, распространяя антивирус вместо вредоносного ПО.