Согласно исследованию ИБ-компании Invincea, за последние несколько дней эксперты обнаружили 60 случаев инфицирования систем банковским вредоносным ПО Dridex на территории Франции. Вредонос распространяется под видом электронных писем со вложенным файлом Microsoft Office, который выглядит, как счет из популярного отеля или магазина. Вредоносное вложение оформлено на французском языке и содержит шестнадцатеричный код.
По словам специалистов, каждый документ создан при помощи технологии "Just-in-Time", целью которой является доставка вредоноса строго на целевое устройство, уклоняясь от сетевой защиты. Вредонос очень опасен из-за того, что использует макрос Microsoft Word, который содержит исполняемый файл под названием PIDARAS.exe, являющийся частью семейства Dridex, а также методы обхода систем безопасности.
Эксперты рассказали, что проанализировали документ facture_laurent bailliard-375BC188 (002).doc, полученный и открытый пользователем через Outlook, это указывает на то, что пользователь получил фишинговое письмо на электронную почту. Сразу же после запуска вредоносного ПО программа связывалась с японскими хостами на linode.com, используя C&C-порт 473. Стоит отметить, что целевой вредонос использует сертификат Comodo, что позволяет обойти защитные технологии, доверяющие подписанному коду.
Напомним, новые версии Dridex были выявлены ИБ-специалистами из Avira 16 и 20 октября. Эксперты отмечают, что вирусописатели продолжают регулярно обновлять вредоносное ПО. По всей вероятности, арест главных подозреваемых в создании и применении Dridex никак не повлиял на функционировании вредоноса. В начале октября текущего года компания Palo Alto Networks заявила о начале подобной фишинговой кампании, направленной в основном на пользователей из Великобритании.
