Новая киберкампания с применением банковской троянской программы Dridex обнаружена экспертами Flashpoint. Для того, чтобы обойти контроль аккаунтов пользователей (User Account Control, UAC), вредоносная программа пользуется новыми техниками.
Впервые Dridex была обнаружена в 2014 году. Пик ее активности пришелся на 2014-2015 годы. В минувшем году эксперты обнаружили лишь небольшие операции с использованием троянской программы. В рамках последней киберкампании против британских банков специалисты Flashpoint выявили новую технику обхода UAC, применяемую Dridex.
По словам экспертов, троянская программа для загрузки задействует исполняемый файл recdisc.exe, который по умолчанию применяется для создания диска восстановления Windows. Для связи с первой ступенью командной инфраструктуры Dridex применяет svchost и spoolsrv.
Распространение вредоносной программы осуществляется посредством фишинговых писем, содержащих документ Word со встроенными макросами, которые загружают и выполняют Dridex на системе. После того, как компьютер был инфицирован, троянская программа удаляет себя из текущей папки в каталог временных файлов.
Для того, чтобы обходить UAC, вредоносная программа создает директорию в Windows\System32\6886, а затем копирует туда легитимный код из Windows\System32\recdisc.exe. Затем Dridex копирует себя в папку %APPDATA%\Local\Temp в виде tmp-файла и добавляется в Windows\System32\6886\SPP.dll. Вредоносная программа осуществляет удаление wu*.exe и po*.dll из Windows\System32 , выполнение recdisc.exe и загружается как SPP.dll с правами администратора.