Новые версии вредоносного ПО были выявлены ИБ-специалистами 16 и 20 октября.
Банковский ботнет Dridex продолжает периодически появляться на просторах интернета, даже несмотря на то, что в сентябре текущего года ФБР изъяло серверы, связанные с вредоносом.
Напомним , в конце августа в Европе были арестованы главные подозреваемые в создании и применении вредоносного ПО Dridex. Согласно следственной информации, 30-летний гражданин Молдовы Андрей Гинкул несет ответственность за причинение банкам ущерба на сумму $3,5 млн в результате мошенничества с использованием компьютера.
ИБ-исследователь из компании Avira Мориц Кролл (Moritz Kroll) обнаружил, что Dridex до сих пор частично функционирует. «Я проверил образец вредоноса с помощью Botchecker компании и выявил, что первый узел сети отвечает на запросы и передает основные компоненты Dridex и список вторых узлов сети», - рассказал Кролл.
Как известно, арест создателей и изъятие серверов не всегда означают конец вредоносной деятельности ботнета. Кролл сообщил, что Dridex до сих пор распространяется под видом документа Word через спам-рассылку. Напомним , в начале октября текущего года компания Palo Alto Networks заявила о начале фишинговой кампании, направленной в основном на пользователей из Великобритании. Отправляемые хакерами фишинг-письма содержали документ Microsoft Word, в котором жертве обманным путем предлагалось активировать макрос, предназначенный для отображения подконтрольных злоумышленникам интернет-ресурсов и загрузки банковского трояна Dridex.
Стоит отметить, что новые версии вредоносного ПО были выявлены ИБ-специалистами 16 и 20 октября. Кролл отмечает, что вирусописатели продолжают регулярно обновлять Dridex.
Одно найти легче, чем другое. Спойлер: это не темная материя