Ранее эксперты сообщали об уязвимости нулевого дня в Microsoft Office, активно эксплуатируемой злоумышленниками для установки вредоносного ПО. Как стало известно, операторы ботнета Dridex используют данную уязвимость для распространения печально известного банковского трояна.

По данным специалистов компании Proofpoint, злоумышленники организовали масштабную спам-кампанию, в основном ориентированную на организации в Австралии, в рамках которой рассылают миллионы электронных писем, содержащих вредоносный документ Microsoft Word.

Независимый исследовател заметил, что операторы известного банкера Dridex изменили почерк. Так, в последнее время спам, распространяющий троянца, все чаще исходит с легитимных сайтов, которые были скомпрометированы злоумышленниками.

Раньше операторы банкера использовали для распространения трояна ботнет Necurs, однако, судя по всему, сейчас операторы малвари испытывают новую тактику. Исследователь пишет, что из-за изменения паттерна вредоносный спам снова обходит фильтры. Еще одно изменение, тоже призванное обмануть фильтры, это использование защищенных паролем документов.

Будущие версии опасного банковского трояна Dridex, также известного как Bugat и Cridex, вскоре смогут похищать кошельки для криптовалют.

Исследователи обнаружили в нем незначительные изменения, позволяющие трояну обходить решения безопасности, а также некоторые элементы, проливающие свет на его будущие возможности. Наибольшие изменения коснулись конфигурационного файла, который теперь передается с C&C-сервера на компьютеры жертв в виде зашифрованного кода, а не открытого текста в XML-файле, что существенно затрудняет реверс-инжиниринг.

Исследователи обнаружили, что операторы Dridex сузили круг своих интересов, сосредоточившись на банках Великобритании, обслуживающих юридических лиц.

Две недели назад вышла новая версия этого троянца, и вскоре последовала серия вредоносных рассылок, ориентированных на британских пользователей. По свидетельству Лимор Кессем, одного из ведущих экспертов IBM X-Force, новейшая версия Dridex раздается с ботнета Andromeda. Вначале список мишеней обновленного троянца был ограничен двумя банками, однако через пару дней он увеличился до 13 позиций.

Две недели назад блюстители правопорядка отрапортовали о разгроме ботнета, построенного на основе Dridex, однако новое исследование показывает, что банковский троянец жив и здравствует.

За четверо суток исследователи из ИБ-компании Invincea зафиксировали 60 случаев заражения Dridex на территории Франции. Атакующие распространяют поддельные письма с вложенным файлом Microsoft Office, который выглядит, как счет из отеля или магазина. Такая схема доставки помогает злоумышленникам обходить средства обнаружения интернет-угроз.

Хакеры украли 30 млн долларов со счетов британского банка, заявило Национальное агентство по борьбе с преступностью. ФБР предостерегает интернет-пользователей о банковских вредоносных программах Bugat и Dridex, взятых на вооружение опытными кибер-преступниками.

Dridex является последней версией в линейке банковских троянов, наряду с Bugat и Feodo. Программа активно используется с 2014 года. Прежде троян распространялся по электронной почте, однако впоследствии организаторы атаки изменили схему и стали рассылать документы Microsoft Word, содержащие макрос, который скачивает и запускает вредоносную программу.

Исследователи сообщили о том, что банковский троян Dridex изменил метод распространения и теперь осуществляет заражение персональных компьютеров, используя макросы Word.

В частности, замечено 9 различных документов Word, с которыми распространяется вредоносный макрос. Вообще, данный вектор атаки известен уже около 10 лет, но судя по всему, далеко не у всех пользователей они отключены по умолчанию. До настоящего времени троян распространялся по электронной почте, но будьте осторожны, на прошлой неделе организаторы атаки изменили схему распространения.