En busig e-kampanj har visats i Storbritannien för att sprida skadlig kod som knappast detekteras av AV-verktyg. Attacken bygger på ett autentiskt söker företag meddelande som informerar om en tvist med mottagaren. Företagsnamnet är slumpmässigt utvalda och är i samklang med ämnesraden.
Attack initieras av en Attached MS Office Document
Hela processen är utformad så att mottagaren luras att öppna den bifogade Microsoft Word-dokument. Dokumentet innehåller en skadlig makro med kommandon för att ladda ner och köra en malware dropper.
Användare bör vara medvetna om att skadlig kod dropper är dold som en GIF-bild. Forskare har ännu inte undersökt VBScript (Visual Basic Scripting Edition, en aktiv skriptspråk) makro men har upptäckt att det finns en backup makro överförs från servrar i Tyskland och Ryssland.
Skadad fil knappt detekterbar
Säkerhets forskare säger att den skadliga filen ursprungligen upptäcktes genom att endast 2 ut ur 56 anti-malware verktyg. Detekteringsgraden har förbättrats lite sedan dess.
När det gäller dropper imiterar en GIF-bild - lagras i en tillfällig mapp och känns igen på namnet
dfsdfff.exe
Efter den skadliga filen körs, en server i Tyskland kontaktas. Forskarna tror att den slutliga nyttolasten är en variant av den välkända Dridex bank Trojan. Den ökända trojanska är också svårt att vara ’fångas’ av AV-produkter.
Den Dridex Trojan har varit ganska aktiv under de senaste åren. I oktober 2014, 93 servrar för Dridex kommunikation registrerades, fyra av dem visade sig vara i Ryssland.