Как сообщает независимый исследователь информационной безопасности MalwareTech, разработчики банковской троянской программы Dridex пользуются новыми методами ее распространения. Специалист выявил спам-кампанию, которую злоумышленники организовали с помощью взломанных легитимных веб-сайтов.
Хакеры в рамках этой киберкампании пользовались двумя новыми способами доставки Dridex. До этого распространение троянской программы осуществлялось с помощью ботнета Necurs. Сейчас киберпреступники для спам-рассылки применяют взломанные серверы. Ввиду перехода на эту методику распространения Dridex экспертам понадобится некоторое время на выявление киберкампании и маркировку спама.
Кроме того, Dridex распространяется с помощью вредоносных сообщений, содержащих зашифрованный rtf-документ и ключ для его расшифровки. Шифрование позволяет спаму успешно обходить фильтры, поскольку в большинстве своем автоматизированные системы, которые сканируют вложенные файлы на предмет наличия вредоносного кода, не способны осуществить расшифровку документов.
При открытии пользователем файла с помощью ключа появляется уведомление о необходимости активации макросов, на самом деле загружающих Dridex Loader, который также отличается от аналога, применявшегося в предыдущих киберкампаниях. Загрузчик осуществляет запуск интерфейса командной строки и перед началом вредоносной активности 250 раз проводит проверку на доступность одного из бесплатных DNS-серверов Google.