Dridex начал распространять вредоносные файлы в виде PFX сертификатов

Новый ход печально известной компании позволяет злоумышленникам завладеть личной и финансовой информацией интернет пользователей, успешно обходя всевозможные антивирусные программы.

О Dridex слышали многие, а также о ее троянах, которые смогли взломать немалое количество европейских и американских банков. В октябре того года уже поступали сообщение о рассылке спама от имени Dridex. Теперь же в мае снова была замечена активность данной группы программистов, и ее новые вирусы смогут с легкостью обойти любой антивирус или программу безопасности.

За последние несколько лет Dridex заслужила себе репутацию одной из самых активных инфраструктур, созданных когда-либо в области кибер-преступности. Создавая своих ботнетов, неизвестная группа внедряет вредоносную программу на компьютеры других пользователей. Таким образом, злоумышленники не только получают доступ к личной информации людей со всего мира, но и переводит их денежные средства на другие счета, совершают незаконные сделки, а также рассылают спам.

Dridex снова в строю!

В прошлом некоторые эксперты отмечали, что деятельность хакерской группы Dridex начинает набирать обороты, и в основном направлена на рассылку спама. Теперь же они заговорили о том, что майский спам-всплеск стал одним из самых крупных мероприятий, предпринимаемых хакерской группировкой.

Похоже, период затишья закончился. В последнем докладе компании Trend Micro говорится о том, что, начиная с 25 мая, Dridex снова принялась активно рассылать вредоносный спам. В свои рассылки хакеры добавили опасного банковского трояна и массово распространяют его по всему свету.

Dridex полностью изменила свою политику, и приготовила для интернет пользователей новый трюк, заражающий их компьютеры. Дабы обойти антивирусы, программисты преподносят свою новую программу под видом сертификата.
В прошлые разы трояны поступали на компьютер через файлы Microsoft Office. Вредоносное приложение устанавливалось сразу после того, как пользователь включал поддержку макросов.

Теперь же «подхватить» троян можно при закачке файла в формате PFX, который часто используется для обмена личной информации. Как правило, такие данные применяются для хранения как открытых, так и закрытых ключей шифрования, способных производить различного рода операции.

Также не менее интересную деталь в новой угрозе заметила вышеупомянутая команда компании Trend Micro. После того, как файл попадет на ПК в формате .PFX, вредоносная программа уже не обнаруживается антивирусами. Сами же программы безопасности признают данный формат абсолютно безопасным, поэтому проверка таких файлов в дальнейшем уже не осуществляется.

Для внедрения трояна Dridex используется Windows Certutil

Когда файл с вредоносной программой проникает в компьютер, то после этого посредством командной строки запускается встроенная утилита для Windows – Certutil. Далее последняя преобразовывает полученные данные в файл с другим расширением – Dridex EXE. Вот он как раз и занимается непосредственным инфицированием компьютера. И, как было сказано выше, антивирус более не проверяет измененный файл на наличие вредоносных программ.

Если вы хотите лишний раз обезопасить свою личную и финансовую информацию от новых уловок хакеров, советуем вам и вашим знакомым не открывать файлы, присланные незнакомыми отправителями.

Пожаловаться Подписаться
0 ответов
авторизуйтесь чтобы ответить