SOS :: Security Operation Space
28 марта, четверг, 00:00
|
Hot News:

Dridex использует для атаки скомпрометированные FTP-серверы

23 января 2018 г., вторник, 06:01

Создатели банкера надеются обойти протоколы безопасности почтовых шлюзов при помощи нового способа распространения.

Специалисты по кибербезопасности из Forcepoint зафиксировали новую компанию по распространению банковского трояна Dridex. Целью атаки стали адреса электронной почты, которые принадлежат пользователям из Европы и Австралии. Более половины писем получили адресаты, зарегистрированные в зоне .com, однако под угрозой оказались и национальные домены Франции, Англии и ряда других стран.

В качестве источника вредоносного кода используются файлы, размещенные на FTP-серверах. Каждое письмо содержит ссылку либо на документ Word с интегрированным в него скриптом для динамического обмена данными (DDE), либо на таблицу Excel с макросом для распаковки трояна.

Это не первый случай использования DDE и файлов MS Office для внедрения банкера. В апреле прошлого года Microsoft уже выпускала патч для устранения уязвимости, которую использовал Dridex.

Судя по тому, что FTP-серверы, которые используются для хранения зараженных файлов, работают на различном ПО и никак не связаны между собой, злоумышленники применяют для атаки базу взломанных аккаунтов.

Авторы рассылки не пытаются скрывать адрес расположения документов и не беспокоятся о возможной компрометации используемых серверов. Скорее всего, доступ к FTP-аккаунтам хакеры получили в ходе отдельной атаки, а взломанных профилей достаточно, чтобы использовать каждый из них лишь единожды.

Чтобы придать большую достоверность рассылаемым письмам, в качестве имени отправителя применяются часто используемые в переписке значения, такие как admin@, billing@, help@, info@ и т.д. Доставкой зараженных сообщений, по всей видимости, занимается ботнет Necurs, который уже применялся для распространения этого эксплойта.

Dridex — один из самых успешных банкеров в мире. Нанесенный им ущерб оценивается в десятки миллионов долларов, при том что первая версия программы появилась в 2011 году. С тех пор вредоносный код неоднократно изменялся, а методы заражения становились все более и более сложными.

Особенностью новой кампании является использование взломанных FTP-аккаунтов. Очевидно, злоумышленники рассчитывают, что ссылки на «надежные» серверы позволят обойти системы защиты почтовых шлюзов и антивирусов. Стоит отметить, что относительно небольшой размер кампании — около 9500 писем — может также свидетельствовать о том, что это лишь тестовая атака для обкатки новой технологии распространения.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.077
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.