Een schadelijke e-mail campagne is beschreven in het Verenigd Koninkrijk om malware die nauwelijks wordt gedetecteerd door AV instrumenten zich verspreiden. De aanval is gebaseerd op een authentiek zoek een e-mail te informeren over een juridisch geschil met de ontvanger. De bedrijfsnaam is willekeurig gekozen en is in harmonie met de onderwerpregel.
Aanval geïnitieerd door een Attached MS Office Document
Het hele proces is ontworpen zodat de ontvanger wordt misleid in het openen van de bijgevoegde Microsoft Word document. Het document bevat een kwaadaardige macro met commando's voor het downloaden en uitvoeren van een malware druppelaar.
Gebruikers moeten zich ervan bewust dat de malware dropper is verborgen een GIF-afbeelding als. Onderzoekers hebben nog geen onderzoek gedaan naar de VBScript (Visual Basic Scripting Edition, een actieve scripttaal) van de macro, maar hebben ontdekt dat er een back-up macro uitgezonden vanuit servers in Duitsland en Rusland.
Beschadigd bestand nauwelijks detecteerbaar
Beveiliging onderzoekers zeggen dat het kwaadaardig bestand in eerste instantie werd gedetecteerd door alleen 2 uit 56 anti-malware gereedschappen. Het detectiepercentage is iets verbeterd sindsdien.
Wat betreft de druppelaar een GIF-afbeelding imiteren - het wordt opgeslagen in een tijdelijke map en is te herkennen aan de naam
dfsdfff.exe
Nadat het kwaadaardig bestand wordt uitgevoerd, een server in Duitsland in contact wordt gebracht. Onderzoekers geloven dat de uiteindelijke payload is een variant van de bekende Dridex banking Trojan. De beruchte Trojan is ook moeilijk te worden ‘gevangen’ door AV-producten.
De Dridex Trojan is behoorlijk actief geweest tijdens de laatste paar jaar. In oktober 2014, 93 servers voor Dridex communicatie werden geregistreerd, vier van hen blijkt te zijn in Rusland.