Взяв короткий тайм-аут, банкер Dridex вновь возник на радарах ИБ-исследователей: в минувший четверг Palo Alto Networks зафиксировала вредоносную спам-атаку, нацеленную по большей части на британские мишени.

В поддельные письма вложен документ Microsoft Word, при открытии которого пользователю предлагается активировать макрос. После запуска внедренный в doc-файл зловред запрашивает сайты, контролируемые авторами атаки, и закачивает банковское ПО. По свидетельству Райана Олсона (Ryan Olson), директора Palo Alto по информационному обеспечению, данная вредоносная кампания пока в полном разгаре.

В конце минувшего лета Dridex почти исчез с интернет-арены, хотя до этого, с начала года, он активно раздавался через спам-рассылки, использующие вредоносные макросы. Эта функция в Microsoft Office была по умолчанию отключена, и злоумышленники на долгое время отказались от некогда популярного трюка. Однако в текущем году он вновь в ходу и подкреплен элементами социальной инженерии, с помощью которых распространители вредоносного ПО, в частности Dridex, стараются убедить пользователя включить макрос и тем самым активировать VBA-зловреда.

«В начале текущего года мы зафиксировали рост числа документов Word, использующих макрос для установки вредоносного ПО, — отметил Олсон. — На тот момент это нас поразило, ведь макрозловреды почти исчезли после дефолтного отключения соответствующей функции в Office. Подходящего объяснения у нас не было. Нынешнее поколение, скорее всего, не помнит ту плачевную ситуацию конца 90-х — начала 2000-х, когда макрос был активен буквально во всех Word и Excel. Сейчас все просто кликают «Да», чтобы включить макрос».

Вредоносные сообщения в текущей и прочих Dridex-кампаниях достаточно убедительны, чтобы вызвать у пользователя искомую реакцию. Обычно такие письма имитируют извещение о состоянии некоего заказа и просят произвести оплату. Вредоносное вложение замаскировано под счет-фактуру, при его открытии пользователю отображается диалоговое окно с предложением включить макрос для просмотра документа. В данном случае макрозловред оперирует списком URL, по которым осуществляется загрузка банкера. Этот список вместе с перечнем C&C-доменов, а также индикаторы заражения опубликованы на сайте Palo Alto.

Кратковременный перерыв в бурной деятельности Dridex можно отчасти объяснить рядом арестов, связанных с распространением вредоносного ПО, в том числе Dridex. Так, в начале сентября на Кипре был задержан 30-летний молдаванин, предположительно лидер преступной группы, ответственной за создание и распространение этого банковского троянца.

«С конца августа до настоящего момента мы не видели никакой активности со стороны Dridex, — констатирует Олсон. — Полагаем, такое затишье вызвано арестом. Возможно, в этой группе произошла реорганизация со сменой ролей, затем она вновь появилась, и заметно оживившаяся».

По словам эксперта, в начале года поток Dridex-спама доходил до 100 тыс. писем в сутки, сейчас этот показатель составляет около 20 тыс., да и то лишь на территории Соединенного Королевства. «В большинстве случаев это Великобритания, — подтвердил Олсон. — Наверное, в этой стране больше возможностей для обналичивания денег, а может, здесь просто открыты подставные счета и базируется основная масса дропов. Скорее всего, дело в том, что британские банки располагают развитой инфраструктурой».

Категории: Вредоносные программы, Спам