09/01/23
По словам исследователя Trend Micro Армандо Натаниэля Педрагозы, в новой версии Dridex используется особая техника для доставки пользователям документов с вредоносными макросами без необходимости маскировать их под какие-либо бизнес-документы.
Dridex (также известный как Bugat и Cridex) – это инфостилер, который собирает конфиденциальные данные с зараженных устройств, а также загружает и развертывает вредоносные модули. Разработку вредоноса приписывают группировке Evil Corp (она же Indrik Spider), пишет Securitylab.
Dridex также считается преемником Gameover Zeus, который был разработан на основе печально известного Zeus. В предыдущих кампаниях с использованием этого вредоноса злоумышленники отправляли пользователям Windows фишинговые письма внутри которых были Excel-файлы с вредоносными макросами внутри.
Анализ образцов Dridex, проведенный Trend Micro, выявил исполняемый файл Mach-O, самая ранняя версия которого появилась на VirusTotal в апреле 2019 года. С тех пор в дикой природе было обнаружено еще 67 артефактов, некоторые из них – в декабре 2022 года. Обнаруженные артефакты содержали в себе документы с макросом Auto-Open, который автоматически запускается при открытии файла. Это возможно провернуть с помощью перезаписи всех DOC-файлов в каталоге пользователя и добавления к ним вредоносного кода, извлеченного из файла Mach-O в виде шестнадцатеричного дампа.
Макросы, добавляемые в перезаписанные документы, связываются с удаленным сервером для получения дополнительных файлов. А исполняемый файл пытается загрузить дроппер Dridex на скомпрометированный компьютер.
