Неизвестный хакер взломал ботнет Dridex и заставил его распространять антивирус Avira вместо банковской троянской программы.
Несмотря на то, что в конце прошедшего года агентами ФБР была проведена операция по пресечению деятельности ботнета Dridex, распространение вредоносного программного обеспечения с его помощью продолжилось. Ботнет применяется для рассылки спам-писем с вредоносными документами Word. При открытии документа происходит активация макроса, запускающего скачивание троянской программы с сервера, находящегося под контролем злоумышленников.
По словам одного из экспертов Avira, вредоносный контент, загрузка которого производится по URL злоумышленников, заменили на новейшую версию установщика антивирусной программы Avira.
В результате пользователи, пострадавшие от ботнета, получали не банковскую троянскую программу, а актуальную копию антивирусной программы. В Avira не знают, кто стоит за взломом ботнета и какими целями этот человек руководствовался. Создатели антивируса заявили о своей непричастности к инциденту.