Eine schelmische E-Mail-Kampagne wurde im Vereinigten Königreich offenbart Malware zu verbreiten, die kaum von AV-Tool erkannt wird. Der Angriff beruht auf einer authentisch orientiertes Unternehmen Nachricht einen Rechtsstreit mit dem Empfänger über die Unterrichtung. Der Firmenname wird zufällig ausgewählt und ist in Einklang mit der Betreffzeile.
Angriff durch eine angebaute MS Office-Dokument Initiiert
Der gesamte Prozess ist so ausgelegt, dass der Empfänger in dem Öffnen des beigefügten Microsoft Word-Dokument ausgetrickst. Das Dokument enthält eine bösartige Makro mit Befehlen für das Herunterladen und eine Malware-Dropper ausgeführt wird.
Benutzer sollten sich bewusst sein, dass die Malware-Dropper als GIF-Bild verdeckt. Die Forscher haben noch nicht untersuchten die VBScript (Visual Basic Scripting Edition, eine aktive Skriptsprache) von der Makro aber hat entdeckt, dass es ein Backup-Makro von Servern in Deutschland und Russland übertragen wird,.
Korrumpiert Datei kaum detektierbar
Sicherheitsforscher sagen, dass die bösartige Datei zunächst nur festgestellt wurde 2 von 56 Anti-Malware-Tools. Die Erkennungsrate ist seitdem ein wenig verbessert.
Wie für den Tropfer ein GIF-Bild zu imitieren - wird es in einem temporären Ordner gespeichert und ist erkennbar durch den Namen
dfsdfff.exe
Nachdem die bösartige Datei ausgeführt, ein Server in Deutschland in Kontakt gebracht wird. Die Forscher glauben, dass die endgültige Nutzlast ist eine Variante des gut bekannten Dridex Banking-Trojaner. Der berüchtigte Trojaner ist auch schwer ‚eingefangen‘ von AV-Produkten zu werden.
Der Dridex Trojan hat sich in den letzten paar Jahren sehr aktiv gewesen. Im Oktober 2014, 93 Server für Dridex Kommunikation wurden registriert, vier von ihnen fanden in Russland sein.