Оффлайн
Apollon
Заблокирован
- Регистрация
- 07.09.17
- Сообщения
- 5.309
- Реакции
- 1.010
- Репутация
- 1.625
Программа похищает учетные данные для online-банкинга, которые операторы вредоноса затем могут использовать для кражи средств с банковского счета жертвы.
Исследователи безопасности из компании Forcepointсообщилио новой фишинговойкампании, в ходе которой злоумышленники используют скомпрометированные FTP-ресурсы для распространения банковского трояна Dridex.
Dridex был впервые обнаружен в 2014 году , пик его активности пришелся на 2014-2015 годы, а в 2016-2017 годах исследователизафиксировалиспад количества операций, осуществляемых с помощью данного вредоноса.
Троян распространяется посредством фишинговых писем, обманом заставляя жертву загрузить и выполнить вредоносные макросы, скрытые в документах Microsoft Office. Оказавшись на системе, Dridex похищает учетные данные для online-банкинга, которые операторы вредоноса затем могут использовать для кражи средств с банковского счета жертвы.
Как правило, злоумышленники используют HTTP для загрузки вредоносной полезной нагрузки, однако в данной кампании был выбран несколько иной метод, отметили исследователи. Для распространения вредоноса хакеры используют скомпрометированные FTP сайты, раскрывая в процессе учетные данные уязвимых доменов.
Кампания началась 17 января текущего года. Фишинговые письма отправлялись преимущественно на домены верхнего уровня, такие как .com, .fr и .co.uk. Наибольшее количество жертв зафиксировано во Франции, Великобритании и Австралии.
По словам экспертов, в кампании Dridex используются два типа документов: файл XLS с вредоносным макросом, который загружает троян на устройство, а также файл DOC, эксплуатирующий уязвимость в Dynamic Data Exchange (DDE) для выполнения команд.
«Судя по всему, атакующие не боятся раскрыть учетные данные скомпрометированных FTP сайтов […] Это может указывать на то, что у злоумышленников имеется богатый запас скомпрометированных учетных записей», - отметили исследователи.
Как полагают специалисты, данная кампания Dridex может быть связана с ботнетом Necurs, поскольку домены, используемые для распространения вредоноса, были замечены в предыдущих кампаниях Necurs.
«В данном случае использовались FTP сайты. Предположительно, это сделано в попытке предотвратить обнаружение механизмами безопасности электронной почты, которые могут считать FTP-серверы надежными», - добавили эксперты.
Исследователи безопасности из компании Forcepointсообщилио новой фишинговойкампании, в ходе которой злоумышленники используют скомпрометированные FTP-ресурсы для распространения банковского трояна Dridex.
Dridex был впервые обнаружен в 2014 году , пик его активности пришелся на 2014-2015 годы, а в 2016-2017 годах исследователизафиксировалиспад количества операций, осуществляемых с помощью данного вредоноса.
Троян распространяется посредством фишинговых писем, обманом заставляя жертву загрузить и выполнить вредоносные макросы, скрытые в документах Microsoft Office. Оказавшись на системе, Dridex похищает учетные данные для online-банкинга, которые операторы вредоноса затем могут использовать для кражи средств с банковского счета жертвы.
Как правило, злоумышленники используют HTTP для загрузки вредоносной полезной нагрузки, однако в данной кампании был выбран несколько иной метод, отметили исследователи. Для распространения вредоноса хакеры используют скомпрометированные FTP сайты, раскрывая в процессе учетные данные уязвимых доменов.
Кампания началась 17 января текущего года. Фишинговые письма отправлялись преимущественно на домены верхнего уровня, такие как .com, .fr и .co.uk. Наибольшее количество жертв зафиксировано во Франции, Великобритании и Австралии.
По словам экспертов, в кампании Dridex используются два типа документов: файл XLS с вредоносным макросом, который загружает троян на устройство, а также файл DOC, эксплуатирующий уязвимость в Dynamic Data Exchange (DDE) для выполнения команд.
«Судя по всему, атакующие не боятся раскрыть учетные данные скомпрометированных FTP сайтов […] Это может указывать на то, что у злоумышленников имеется богатый запас скомпрометированных учетных записей», - отметили исследователи.
Как полагают специалисты, данная кампания Dridex может быть связана с ботнетом Necurs, поскольку домены, используемые для распространения вредоноса, были замечены в предыдущих кампаниях Necurs.
«В данном случае использовались FTP сайты. Предположительно, это сделано в попытке предотвратить обнаружение механизмами безопасности электронной почты, которые могут считать FTP-серверы надежными», - добавили эксперты.