Печально известный вредонос Dridex обзавелся новым методом заражения

Печально известный вредонос Dridex обзавелся новым методом заражения

На этот раз под угрозой оказались пользователи macOS.

image

По словам исследователя Trend Micro Армандо Натаниэля Педрагозы, в новой версии Dridex используется особая техника для доставки пользователям документов с вредоносными макросами без необходимости маскировать их под какие-либо бизнес-документы.

Dridex (также известный как Bugat и Cridex) – это инфостилер, который собирает конфиденциальные данные с зараженных устройств, а также загружает и развертывает вредоносные модули. Разработку вредоноса приписывают группировке Evil Corp (она же Indrik Spider).

Dridex также считается преемником Gameover Zeus, который был разработан на основе печально известного Zeus. В предыдущих кампаниях с использованием этого вредоноса злоумышленники отправляли пользователям Windows фишинговые письма внутри которых были Excel-файлы с вредоносными макросами внутри.

Анализ образцов Dridex, проведенный Trend Micro, выявил исполняемый файл Mach-O, самая ранняя версия которого появилась на VirusTotal в апреле 2019 года. С тех пор в дикой природе было обнаружено еще 67 артефактов, некоторые из них – в декабре 2022 года. Обнаруженные артефакты содержали в себе документы с макросом Auto-Open, который автоматически запускается при открытии файла. Это возможно провернуть с помощью перезаписи всех DOC-файлов в каталоге пользователя и добавления к ним вредоносного кода, извлеченного из файла Mach-O в виде шестнадцатеричного дампа.

Макросы, добавляемые в перезаписанные документы, связываются с удаленным сервером для получения дополнительных файлов. А исполняемый файл пытается загрузить дроппер Dridex на скомпрометированный компьютер.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь