Dridex распространяется через взломанные FTP-ресурсы22.01.2018 Компания Forcepoint сообщила о возобновлении активности опасного банковского троянца Dridex, похищающего учетные данные онлайн-банкинга. На протяжении минувшего года этот зловред отошел в тень, однако теперь вновь напомнил о себе, причем достаточно неожиданным образом. Исследователи Forcepoint зафиксировали масштабную фишинговую кампанию, в ходе которой пользователям рассылались письма со ссылками, ведущими к загрузке Dridex. Традиционно киберпреступники используют HTTP-ссылки, но в данном случае они предпочли ссылки на ранее скомпрометированные FTP-ресурсы. Троянец распространяется во вредоносных документах форматов Word и Excel. Примечательно, что организаторы атаки раскрывают учетные данные скомпрометированных доменов. Эксперты Forcepoint видят два возможных объяснения. С одной стороны, в распоряжении хакеров может иметься достаточно большой запас взломанных ресурсов. С другой, они могут специально делиться такими доменами с «коллегами» – чем больше злоумышленников используют один и тот же домен, тем сложнее специалистам по кибербезопасности и правоохранителям расследовать атаку. Предполагается также, что для рассылки фишинговых писем был использован ботнет Necurs: многие домены, задействованных в рассылке, уже ассоциировались ранее с атаками Necurs. Технический Центр Интернет Тема:Безопасность |
© 2014. ИТ-Текст. Все права защищены.