Uma campanha de e-mail malicioso foi divulgado no Reino Unido para espalhar malware que dificilmente é detectada por ferramentas AV. O ataque se baseia em uma mensagem da empresa autenticamente procurando informando sobre uma disputa legal com o destinatário. O nome da empresa é seleccionado aleatoriamente e está em sintonia com a linha de assunto.
Ataque iniciado por um documento MS Office Anexado
Todo o processo foi concebido para que o receptor é levado a abrir o documento Microsoft Word anexado. O documento contém uma macro maliciosa com comandos para fazer o download e execução de um conta-gotas de malwares.
Os usuários devem estar cientes de que a conta-gotas de malware está escondido como uma imagem GIF. Os investigadores ainda não investigou o VBScript (Visual Basic Scripting Edition, uma linguagem de script ativo) da macro, mas descobriram que há uma macro de backup transmitido de servidores na Alemanha e na Rússia.
Corrompido arquivo dificilmente detectável
Os pesquisadores de segurança dizem que o arquivo malicioso foi inicialmente detectado em apenas 2 fora de 56 ferramentas anti-malware. A taxa de detecção melhorou um pouco desde então.
Quanto ao conta-gotas imitando uma imagem GIF - ele é armazenado em uma pasta temporária e é reconhecido pelo nome
dfsdfff.exe
Depois que o arquivo malicioso é executado, um servidor na Alemanha é contactado. Os investigadores acreditam que a carga final é uma variação do bem conhecido Dridex Trojan bancário. O Trojan infame também é difícil de ser ‘apanhado’ por produtos AV.
O Dridex Trojan tem sido bastante ativos durante o último par de anos. Em outubro 2014, 93 Foram registrados servidores para a comunicação Dridex, quatro deles encontrado em Rússia.