Une campagne de courriel malicieux a été divulgué au Royaume-Uni pour propager des logiciels malveillants qui est à peine détectée par des outils AV. L'attaque repose sur un message d'entreprise à la recherche d'un authentique informant différend juridique avec le bénéficiaire. Le nom de la société est choisi au hasard et est en phase avec la ligne d'objet.
Attaque Initié par un MS Office joints Document
L'ensemble du processus est conçu de telle sorte que le récepteur est dupé en ouvrant le document Microsoft Word joint. Le document contient une macro malicieuse avec des commandes pour le téléchargement et l'exécution d'un compte-gouttes logiciels malveillants.
Les utilisateurs doivent être conscients que le compte-gouttes malware est caché sous forme d'image GIF. Les chercheurs ont pas encore enquêté sur le VBScript (Visual Basic Scripting Edition, un langage de script actif) de la macro, mais ont découvert qu'il existe une macro de sauvegarde transmis à partir de serveurs en Allemagne et en Russie.
Fichier Corrompu peine décelables
Les chercheurs en sécurité disent que le fichier malveillant a d'abord été détectée que par 2 de 56 outils anti-malware. Le taux de détection est améliorée un peu depuis lors.
En ce qui concerne le compte-gouttes imitant une image GIF - il est stocké dans un dossier temporaire et est reconnaissable par le nom
dfsdfff.exe
Une fois le fichier malveillant est exécuté, un serveur en Allemagne est contacté. Les chercheurs croient que la charge utile finale est une variante du bien connu Cheval de Troie bancaire Dridex. Le cheval de Troie infâme est aussi difficile d'être « pris » par les produits AV.
Le Dridex cheval de Troie a été très actif au cours des deux dernières années. En octobre 2014, 93 serveurs de communication Dridex ont été enregistrés, quatre d'entre eux ont été trouvés en Russie.