Dridex Banque cheval de Troie dans une macro Livré dans les documents Word (Mise à jour 2019)

Dridex Banque cheval de Troie dans une macro Livré dans les documents Word (Mise à jour 2019)

Une technique plutôt impopulaire pour la distribution des logiciels malveillants bancaire a été repéré dans la nature ces derniers temps. Elle implique la combinaison de macros malveillants, Microsoft Word docs et les fichiers PDF en un seul élément.

La méthode repose sur des messages électroniques de spam contenant un document texte apparemment innocent, qui est, en fait, un fichier exécutable. L'autre utilisateur d'approche par les attaquants est de lacer des documents Word avec des scripts macro qui téléchargent la menace malveillante.

Les experts de signalent que la avast dernière technique a été modifié et maintenant le document Word est en cours intégrés dans un fichier PDF. En particulier, le PDF est ce que l'utilisateur voit dans l'e-mail de spam.

Le Malicious Email

Le courriel semble provenir d'une institution financière et contenir des détails importants, qui sont décrites dans un fichier PDF joint au message. Le doc Adobe est intégré avec le code JavaScript et le fichier DOC qui contient la macro avec les commandes malveillantes.

Une fois que la victime télécharge le PDF, le JavaScript est tombé, et le DOC est exécuté. L'utilisateur est toujours celui d'activer le code dans la macro, mais parce qu'il est désactivé par Microsoft Office par défaut. Le code malveillant obscurcit les fichiers DOC car il crée de nouveaux documents qui ont des noms variables uniques, Les noms de méthodes, et les URL. De cette façon, il devient très difficile d'identifier les fichiers malveillants, experts expliquent.

Dridex Banque cheval de Troie

Comme les chercheurs analysaient la macro, ils ont découvert que connecté à une URL unique pour chaque malware - une version du cheval de Troie bancaire Dridex.

Les attaquants ont pour but de mettre la main sur les pouvoirs bancaires qui leur permettra d'accéder aux comptes de la victime. Logins pour les services Microsoft et Google sont également ciblés.

Parmi les banques, dont les clients ont été ciblés, sont:

  • Santander (NOUS)
  • Ulster (Irlande)

Les experts en sécurité demandent instamment aux utilisateurs d'exécuter les dernières versions de l'outil AV qu'ils ont installé sur leurs ordinateurs. Il est important que les utilisateurs accordent une attention aux e-mails suspects qui prétendent contenir des données importantes dans les fichiers joints, et vérifier les informations avant de télécharger les documents.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Time limit is exhausted. Please reload the CAPTCHA.