Две недели назад блюстители правопорядка отрапортовали о разгроме ботнета, построенного на основе Dridex, однако новое исследование показывает, что банковский троянец жив и здравствует.
За четверо суток исследователи из ИБ-компании Invincea зафиксировали 60 случаев заражения Dridex на территории Франции. Атакующие распространяют поддельные письма с вложенным файлом Microsoft Office, который выглядит, как счет из отеля или магазина.
При открытии этого документа активируется макрос, награждающий жертву вредоносным PIDARAS.exe, который устанавливает соединение с японскими хостами через свой командный сервер. Эксперты отмечают, что такая схема доставки помогает злоумышленникам обходить средства обнаружения интернет-угроз. Более того, целевой зловред использует сертификат Comodo и потому способен обмануть защитные технологии, доверяющие подписанному коду.
На настоящий момент вредоносные рассылки предназначены для франкоязычных пользователей, об этом свидетельствует оформление вредоносного вложения (facture по-французски «счет»), в имени которого к тому же указан французский магазин, и самого исполняемого кода. Однако не исключено, что со временем данная Dridex-кампания будет переориентирована на другие языки и реалии. «Атаки во Франции могут оказаться провозвестником более масштабной кампании, направленной также против жителей США и других стран, как это часто бывало с Dridex», – предупреждают представители Invincea в своем пресс-релизе.
Ранее в октябре ФБР, министерство юстиции США и Национальное агентство Великобритании по борьбе с преступностью отчитались о совместной операции по захвату большей части инфраструктуры, используемой Dridex. Экспертную поддержку правоохранительным органам оказали безопасники Dell SecureWorks, которые подменили несколько узлов в троянских p2p-сетях по методу sinkhole и перенаправили на них примерно 4 тыс. ботов, находящихся на территории Франции и Великобритании. Тем не менее, практика показала, что некоторые подсети остались за пределами этого охвата.
Dridex вернулся в начале текущего месяца; возобновление его деятельности первыми заметили исследователи из Palo Alto Networks, обнаружившие вредоносную email-рассылку на территории Великобритании. На тот момент, как и в нынешней франкоязычной кампании, злоумышленники предлагали получателям писем активировать макрос, чтобы открыть возможность для загрузки троянца.
К сожалению, трансграничная операция по низвержению Dridex принесла лишь временный успех: этот банкер, как отметил на прошлой неделе Брэд Дункан (Brad Duncan) из ISC SANS, затих лишь на месяц. По словам эксперта, в сентябре институт SANS не зафиксировал ни одной спам-рассылки, нацеленной на его распространение. На VirusTotal в этот период свежих образцов тоже не появлялось, их начали подавать на проверку лишь 1 октября, примерно в то же время, когда Palo Alto зафиксировала повышение активности банкера.
Axarhöfði 14,
110 Reykjavik, Iceland