Исследователи обнаружили, что операторы Dridex сузили круг своих интересов, сосредоточившись на банках Великобритании, обслуживающих юридических лиц. Две недели назад вышла новая версия этого троянца, и вскоре последовала серия вредоносных рассылок, ориентированных на британских пользователей.

По свидетельству Лимор Кессем (Limor Kessem), одного из ведущих экспертов IBM X-Force, новейшая версия Dridex раздается с ботнета Andromeda. Вначале список мишеней обновленного троянца был ограничен двумя банками, однако через пару дней он увеличился до 13 позиций.

Атаки Dridex на клиентов британских банков вряд ли могут кого-либо удивить: этот зловред всегда интересовался деньгами. IBM полагает, что авторы троянца просто решили сконцентрироваться на заведомо выигрышных мишенях — банках с поддоменами для доступа к корпоративным и бизнес-счетам.

Распространяется новый Dridex по-прежнему — через файлы Microsoft Office с вредоносным макросом, замаскированные под счет-фактуру и вложенные в поддельные письма. Когда жертва заражения обращается к сайту своего банка, зловред незаметно перенаправляет запрос на другой ресурс, чтобы выманить логин и пароль.

Способ кражи данных посредством редиректа не нов, его применяет другой банковский троянец, Dyre, однако тот использует с этой целью локальный прокси-сервер, а обновленный Dridex подменяет записи в локальном DNS-кэше.

Использование такой техники, по словам Кессем, требует большой подготовки. «Чтобы подготовить атаку с редиректом, преступной группе нужно солидно потратиться на создание точных копий веб-сайтов атакуемых банков, — пишет эксперт в блоге X-Force. — Когда Dyre начал использовать эту схему, в его список мишеней входило более десятка банков. Такая операция требовала очень много ресурсов, и операторам Dyre в итоге пришлось вернуться к веб-инжектам и подмене страниц».

Тем не менее новая Dridex-кампания очень быстро набрала обороты, и это навело Кессем на мысль, что обе преступные группы связаны с одним и тем же разработчиком или организатором. Возможно также, что операторы Dridex просто купили копии некоторых сайтов у группы, стоящей за Dyre.

Последний раз СМИ писали о Dridex в конце октября; на тот момент банкер был активен и атаковал французов, хотя незадолго до этого ФБР и Национальное агентство Великобритании провели совместную операцию по захвату его инфраструктуры. Поскольку троянец продолжает шествие по Европе, этот удар, по всей видимости, лишь на время приостановил его опустошительные набеги.

Категории: Вредоносные программы