Эксперты из Forcepoint рассказали о новой фишинговой кампании, в рамках которой хакеры распространяют банковскую троянскую программу Dridex с помощью взломанных FTP-ресурсов.
Впервые программа Dridex была выявлена в 2014 году, ее активность достигла пика в 2014-2015 годах. В период с 2016 по 2017 год эксперты фиксировали снижение числа операций, проводимых с применением этой вредоносной программы.
Троянская программа распространялась через фишинговые письма. Операторы Dridex обманным путем заставляют жертву загружать и выполнять вредоносные макросы, которые скрыты в документах Microsoft Office. После проникновения в систему Dridex собирает учетную информацию для онлайн-банкинга, которая позже может использоваться операторами вредоносной программы для хищения денег с чужого банковского счета.
Обычно для загрузки вредоносных файлов хакеры применяют HTTP, но для этой кампании они избрали другую методику. Для распространения Dridex используются взломанные FTP-сайты. При этом, в процессе раскрывается учетная информация уязвимых доменов.
Киберкампания началась 17 января этого года. Рассылка фишинговых писем осуществлялась, прежде всего, на домены верхнего уровня (.com, .fr, .co.uk). Больше всего пострадали австралийские, британские и французские пользователи.
Как утверждают эксперты, в рамках кампании Dridex применяются два типа документов: xls-файл, содержащий вредоносный макрос, загружающий троянскую программу на устройство, и doc-файл, задействующий уязвимость в Dynamic Data Exchange (DDE) для выполнения команд.
По мнению специалистов, эта кампания Dridex может быть связана с ботнетом Necurs, так как домены, применяемые для распространения вредоносной программы, использовались в предыдущих кампаниях Necurs.
