Эксперты Proofpoint сообщают о новом всплеске активности банковской троянской программы Dridex. Несмотря на то, что ранее в рамках киберкампаний, имеющих отношение к данной троянской программе, осуществлялась рассылка миллионов спам-сообщений, относительно недавно этот поток практически иссяк, а количество вредоносных уведомлений снизилось до нескольких сотен. Но на прошлой неделе специалисты снова зафиксировали десятки тысяч подобных сообщений.
По словам исследователей, немногие киберкампании, которые функционировали в июне этого года, были в большинстве своем направлены против пользователей из Швейцарии. Эти атаки ассоциируются сразу с несколькими Dridex-ботнетами, каждый из которых получил от экспертов определенный номер: 124, 144, 1024, 1124 и 38923. Кроме того, были зафиксированы кибернападения на австралийцев, британцев и французов.
Например, последняя по времени киберкампания из тех, что были зафиксированы исследователями, обнаружена 15-16 августа 2016 года и осуществлялась с помощью ботнета 228, который продемонстрировал резкий рост активности. В отчете Proofpoint говорится, что данный ботнет использует информацию австралийских, американских, британских и французских банков и занимается распространением троянской программы через вложенные в письма файлы .docm, содержащие вредоносные макросы.
По словам исследователей, теперь Dridex преимущественно нацелен на back-end разных систем, обрабатывающих платежную информацию, PoS-систем и приложений для удаленного администрирования. Несмотря на то, что Dridex и ранее иногда атаковал подобные системы, эксперты сообщают, что в августе этого года перечень целей вредоносной программы был существенно расширен.
Другая киберкампания, связанная с Dridex, была выявлена 11 августа. В данном случае распространение троянской программы также осуществляется с помощью файлов .docm, но киберкампания проводится с использованием ботнета 144. В качестве основной цели злоумышленники выбрали швейцарские банки. Хакеры даже написали вредоносные письма на немецком языке.
Dridex в рамках этой киберкампании также распространяется с помощью наборов эксплоитов, в том числе Neutrino.