Банктік Dridex трояны жаңа зиянды кампанияда FTP сайттарын пайдаланады.

Бағдарлама online-банкингке арналған есептік деректерді ұрлап, оларды кейін зиянкестің операторлары құрбанның банктік шотынан қаражат ұрлау үшін пайдаланады.

Forcepoint компаниясының қауіпсіздік зерттеушілері жаңа фишингтік кампания туралы хабарлады, оның барысында зиянкестер жария етілген FTP-ресурстарын Dridex банктік троянын тарату үшін пайдаланады.

Dridex алғашқы рет 2014 жылы айқындалды, оның ең жоғары белсенділігі 2014-2015 жылдары байқалып, ал 2016-2017 жылдары зерттеушілер аталған зиянкестің көмегімен жүзеге асырылатын операциялар санының кемігенін тіркеді.

Троян құрбанды алдауға түсіріп, Microsoft Office құжаттарында жасырылған зиянды макростарды жүктеуге және орындауға мәжбүрлеп, фишингтік хаттар арқылы таралады. Жүйеге енгеннен кейін Dridex online-банкингке арналған есептік деректерді ұрлап, оларды кейін зиянкестің операторлары құрбанның банктік шотынан қаражат ұрлау үшін пайдаланады.

Әдетте, зиянды пайдалы жүктемені жүктеу үшін зиянкестер HTTP пайдаланады, алайда бұл кампанияда біршама өзге әдіс таңдалған, деп атап көрсетті зерттеушілер. Зиянкесті тарату үшін хакерлер осал домендердің есептік жазбаларын үдерісте ашу арқылы жария етілген FTP сайттарын пайдаланады.

Кампания ағымдағы жылғы 17 қаңтарда басталды. Фишингтік хаттар көбіне .com, .fr мен .co және uk сияқты жоғары деңгейдегі домендерге жіберілді.

Сарапшылардың айтуынша, Dridex кампаниясында құжаттардың екі түрі қолданылады: троянды құрылғыға жүктейтін зиянды макросы бар XLS файлы, сондай-ақ осалдықты Dynamic Data Exchange (DDE) командаларды орындау үшін пайдаланатын DOC файлы.

Аталған Dridex кампаниясы Necurs ботнетімен байланысты болуы мүмкін, деп пайымдайды мамандар, себебі зиянкесті таратуда пайдаланылған домендер Necurs алдыңғы кампанияларында байқалған.

Ақпарат көзі: securitylab.ru