Исследователи из Palo Alto Networks сообщили о том, что банковский троян Dridex изменил метод распространения и теперь осуществляет заражение персональных компьютеров, используя макросы Word.

Dridex — последняя версия в линейке банковских троянов Bugat/Feodo/Cridex, она активно используется с июля текущего года. До настоящего времени троян распространялся по электронной почте, но на прошлой неделе организаторы атаки изменили схему, так что теперь они рассылают документы Microsoft Word, содержащие макрос, который скачивает и запускает вредоносную программу.

Как и свои предшественники, Dridex представляет собой типичный банковский троян по образцу Zeus. Его главная функциональность — кража учётных данных для доступа к онлайн-банкингу, так что злоумышленники получают доступ к денежным средствам жертвы и могут перевести их на другой счёт. Dridex использует конфигурационный XML-файл для определения списка сайтов, для которых осуществляется кража учётных данных. Там также перечислены сайты, которые нужно игнорировать.

Исследователи говорят, что схема распространения Dridex изменилась 21 октября. Жертвами атаки являются, преимущественно, пользователи из США.

003

В частности, замечено 9 различных документов Word, с которыми распространяется вредоносный макрос. Макросы скачивают файлы по следующим адресам:

  • http://gpsbah[.]com/images/1.exe
  • http://jvsfiles[.]com/common/1.exe
  • http://jvssys[.]com/js/1.exe
  • http://mirafarm[.]ro/html/js/bin.exe
  • http://palitosdepan[.]com/js/bin.exe
  • http://www.juglarsa.com[.]ar/images/1.exe

Всё это легитимные веб-сайты, которые, видимо, подверглись взлому.

Защититься от атаки можно с помощью отключения макросов Word. Вообще, данный вектор атаки известен уже около 10 лет, так что макросы Word и так должны быть отключены по умолчанию у большинства пользователей.



5 комментариев

  1. 28.10.2014 at 13:00

    Не может не удивлять, что вектор атаки через макросы Word приносит хоть какие-то плоды, ведь он известен не 10, как пишут в статье, а уже, как минимум, 20 лет!

  2. 28.10.2014 at 13:42

    Парадокс — майкрософт потратила кучу ресурсов на разработку и поддержку макросов и внутреннего языка программироавния, который все равно по умолчанию должен быть отключен, а следовательно вряд ли где будет использоваться, кроме оче крайней необходимости.

    • 28.10.2014 at 16:36

      Там есть ещё фича с подписыванием макросов, которая теоретически могла бы помочь. Но она обходится СИ-фразой: «чтобы наш документ правильно отображался, Вы должны включить неподписанные макросы». Политика «всё или ничего» в отношении макросов и ActiveX — мина, заложенная в фундамент безопасности.

  3. 29.10.2014 at 08:43

    не ну при пересылке антивирусами обычно такие вещи блокируются

  4. 29.10.2014 at 11:35

    Неужели в Соединенных Штатах такое большое количество пользователей Microsoft? У них же большой популярностью пользуется продукция Macintosh, Apple, iPhone, iPad Стива Джобса???????????

Оставить мнение