Банковский троянец Dridex распространяется через макросы в документах Word

Тема в разделе "Новости информационной безопасности", создана пользователем Dragokas, 23 ноя 2014.

Метки:
  1. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.478
    Симпатии:
    4.307
    HDHealth.jpg

    Исследователи из Palo Alto Networks сообщили о том, что банковский троян Dridex изменил метод распространения и теперь осуществляет заражение персональных компьютеров, используя макросы Word.

    Dridex — последняя версия в линейке банковских троянов Bugat/Feodo/Cridex, она активно используется с июля текущего года. До настоящего времени троян распространялся по электронной почте, но на прошлой неделе организаторы атаки изменили схему, так что теперь они рассылают документы Microsoft Word, содержащие макрос, который скачивает и запускает вредоносную программу.

    Как и свои предшественники, Dridex представляет собой типичный банковский троян по образцу Zeus. Его главная функциональность — кража учётных данных для доступа к онлайн-банкингу, так что злоумышленники получают доступ к денежным средствам жертвы и могут перевести их на другой счёт. Dridex использует конфигурационный XML-файл для определения списка сайтов, для которых осуществляется кража учётных данных. Там также перечислены сайты, которые нужно игнорировать.

    Исследователи говорят, что схема распространения Dridex изменилась 21 октября. Жертвами атаки являются, преимущественно, пользователи из США.

    Recipients.png

    В частности, замечено 9 различных документов Word, с которыми распространяется вредоносный макрос. Макросы скачивают файлы по следующим адресам:

    • hxxp://gpsbah.com/images/1.exe
    • hxxp://jvsfiles.com/common/1.exe
    • hxxp://jvssys.com/js/1.exe
    • hxxp://mirafarm.ro/html/js/bin.exe
    • hxxp://palitosdepan.com/js/bin.exe
    • hxxp://vvv.juglarsa.com.ar/images/1.exe
    Всё это легитимные веб-сайты, которые, видимо, подверглись взлому.

    Защититься от атаки можно с помощью отключения макросов Word. Вообще, данный вектор атаки известен уже около 10 лет, так что макросы Word и так должны быть отключены по умолчанию у большинства пользователей.

    Источник.
     
    Последнее редактирование: 23 ноя 2014
    akok, SNS-amigo, orderman и 2 другим нравится это.
  2. лис.хвост
    Оффлайн

    лис.хвост VIP Разработчик

    Сообщения:
    630
    Симпатии:
    983
    В США выдвинуты обвинения против предполагаемого администратора ботнета.

    В результате трансграничной операции, проведенной совместными усилиями ФБР, Национального агентства Великобритании по борьбе с преступностью (National Crime Agency), европейского Центра по борьбе с киберпреступностью (European Cybercrime Centre), национальных CERT обеих стран, а также полиции Германии и Молдовы были изъяты многочисленные C&C-серверы банковского трояна Dridex. Кроме того, в США были выдвинуты обвинения против предполагаемого оператора ботнета 30-летнего гражданина Молдовы Андрея Гинкула. Он был задержан в августе этого года на Кипре. Сейчас США ожидают экстрадиции подозреваемого.

    Банковский троян Dridex, известный также как Bugat, Cridex или Feodo, распространялся через спам с помощью макросов Microsoft Office и использовался для хищения конфиденциальной персональной и финансовой информации с инфицированных компьютеров. Функционал трояна позволял эффективно избегать обнаружения антивирусами и другими решениями безопасности. По оценкам ФБР, в США ущерб от активности вредоноса составляет по крайней мере $10 млн.

    Правоохранительным органам США и Великобритании удалось получить разрешение суда на подмену C&C-серверов Dridex, выявленных в ходе расследования. Совместными усилиями им удалось обезвредить значительную часть инфраструктуры трояна.

    Уголовное дело против Андрея Гинкула возбуждено в штате Пенсильвания, США. Он обвиняется в преступном сговоре, несанкционированном доступе к компьютерам с целью осуществления мошенничества, а также в мошенничестве с использованием проводной связи и банковском мошенничестве. Как следует из обвинительного акта, молдованин является участником преступной группы, которая использовала похищенную информацию для перевода средств со счетов жертв на счета в США, Киеве, Краснодаре и Минске.

     
    SNS-amigo, orderman и akok нравится это.

Поделиться этой страницей