На фоне депрессивных новостей об усиливающейся угрозе со стороны киберзлоумышленников особенно курьезно выглядит новость о том, что усилиями неизвестного «благородного разбойника» часть инфраструктуры банкера Dridex была взломана. Теперь при переходе по «вредоносным» ссылкам пользователь попадает на загрузчик антивируса Avira. Представители Avira же утверждают, что не имеют отношения к взлому ботнета.

Dridex — типичный образец банковского троянца, похищающий идентификаторы онлайн-банкинга и содержащий конфигурационные файлы, позволяющие имитировать вход на сайты финансовых организаций. Успешность Dridex основана на использовании элементов социальной инженерии, при помощи которых злоумышленники убеждают пользователей открыть документ MS Office и исполнить вредоносные макросы.

Dridex оказался весьма живуч, даже учитывая арест лиц, предположительно причастных к его созданию и распространению, в 2015 году. По последним данным, он был замечен в ряде атак на британских пользователей уже в октябре 2015 года, после поимки подозреваемых.

Сейчас с ссылок, ведущих на загрузчик троянца, скачивается актуальная версия антивируса Avira, с действительной подписью. Представители разработчика не имеют понятия, кто и почему делает это, но склоняются к версии, что «белый хакер» воспользовался теми же уязвимостями, что и создатели ботнета, проник в зараженные сервера и заменил зловред загрузочным файлом антивируса, чтобы «потроллить» «плохих парней». А может быть, злоумышленники просто решили таким образом запутать ИБ-компании, чтобы отвести подозрения от своих С&C-серверов.

Однако, как всегда бывает в историях про «народных мстителей» и супергероев, действия неизвестного «белого хакера» также являются противоправными, каков бы ни был его мотив, отметили в компании.

Категории: Вредоносные программы, Кибероборона, Хакеры