Ботнет Dridex, распространяющий одноименный банковский троян, оказался взломан неизвестным доброжелателем. Анонимный шутник заставил ботнет «заражать» пользователей антивирусом Avira.
Хотя в конце 2015 года ФБР провело операцию по прекращению деятельности ботнета Dridex, сеть все равно осталась на плаву и продолжила распространять малварь. Как правило, данный ботнет используется для рассылки спама. Письма содержат вредоносные вложения, в основном в виде документов Word с нехорошими макросами. Как только жертва открывает такой файл, срабатывает макрос, и с сервера злоумышленников скачивается пейлоуд. Проникнув в систему, Dridex создает за зараженной машине кейлоггер, а также использует невидимые редиректы и веб-инъекции для банковских сайтов.
«Вредоносный контент, загружающийся по URL злоумышленников, был заменен на оригинальную, самую свежую версию инсталлятора Avira (вместо обычного загрузчика Direx)», — рассказал один из экспертов Avira.
Таким образом, жертвы ботнета в последнее время получали не банковский троян, а актуальную, подписанную копию антивируса. В компании Avira сообщают, что им неизвестно, кто провернул этот трюк, и какие цели он преследовал. Свою причастность к инциденту разработчики антивируса опровергают.
«Какой-то whitehat мог проникнуть на зараженный веб-сервер, используя те же уязвимости, которые применяют сами авторы малвари. Он мог подменить их вредоносные штуки инсталлятором Avira», — строят теории разработчики, добавляя при этом, что подобные действия считаются противозаконными во многих странах мира.
Стоит отметить, что это уже не первый подобный случай. Ранее инсталлятор Avira уже добавляли в состав вымогателей CryptoLocker и Tesla.