En drillesyg email-kampagne er blevet beskrevet i Det Forenede Kongerige til at sprede malware, der næsten ikke opdaget af AV-værktøjer. Angrebet er afhængig af en autentisk leder selskab meddelelse om, om en retstvist med modtageren. Virksomhedens navn er tilfældigt udvalgt og er i harmoni med emnelinjen.
Attack initieret af en Attached MS Office Document
Hele processen er konstrueret således, at modtageren er lokket til at åbne den vedhæftede Microsoft Word-dokument. Dokumentet indeholder en ondsindet makro med kommandoer til at downloade og udføre en malware dropper.
Brugere bør være opmærksomme på, at malware dropper er skjult som et GIF-billede. Forskere har endnu ikke undersøgt VBScript (Visual Basic Scripting Edition, en aktiv scriptsprog) af makroen, men har opdaget, at der er en backup makro transmitteret fra servere i Tyskland og Rusland.
Beskadiget fil Knap Detekterbare
Sikkerhed forskere siger, at skadelig fil oprindeligt blev opdaget af kun 2 ud af 56 anti-malware værktøj. Detektionsraten har forbedret en smule siden da.
Som for dropper efterligne et GIF-billede - det er gemt i en midlertidig mappe og er genkendeligt ved navn
dfsdfff.exe
Efter den skadelig fil eksekveres, en server i Tyskland kontaktes. Forskere mener, at den endelige nyttelast er en variation af den velkendte Dridex bank Trojan. Den berygtede Trojan er også svært at være ’fanget’ af AV-produkter.
Den Dridex trojanske har været ganske aktiv under de sidste par år. Den October 2014, 93 servere til Dridex kommunikation blev registreret, fire af dem viser sig at være i Rusland.