Хакеры используют фишинговые письма для рассылки вредоносного ПО Dridex

image

Теги: Dridex, троян, фишинг, спам

Троян рассылается при помощи писем с вложениями в виде инфицированных документов Word.

В прошлом месяце эксперты обнаружили новый троян Dridex, похищающий банковские данные жертв. Его характерной особенностью был путь инфицирования – для заражения ПК требовалось открыть документ Word со встроенным вредоносным макросом. Вместе с этим активизировалась активность злоумышленников, рассылающих фишинговые письма с инфицированными вложениями.

Эксперты проанализировали одну из фишинговых кампаний, связанных с рассылкой Dridex. Она была активна примерно три недели назад, а для передачи сообщений использовались ботнеты. К сообщениям прикреплялись инфицированные документы Word, при запуске которых выполнялась загрузка Dridex на ПК жертв.

Как рассказывает аналитик Rackspace Брэд Дункан (Brad Duncan) на сайте SANS Internet Storm Center, 11 ноября нынешнего года он получил примерно 60 писем с темой «Получен лишний платеж» (Duplicate payment received). Сообщения рассылались с различных хостов, находящихся под контролем ботнета. В них содержались HTML-компоненты, а также изображения с подписью.

Открыв вложение к письму в виде документа Word, пользователь заражал свой компьютер вредоносным ПО. Файл содержал макрос, с помощью которого начиналась загрузка и установка Dridex. Отметим, что угроза касается лишь компьютеров под управлением ОС Windows.

Вложения имели разные хеш-суммы, что свидетельствует о том, что фишеры использовали по меньшей мере 3 вариации документов Word. По словам Дункана, на момент анализа вредоносное ПО загружалось из блока IP-адресов 62.76.185.0/24.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.