Una campagna di email malizioso è stato divulgato nel Regno Unito per diffondere il malware che è difficilmente rilevato da strumenti AV. L'attacco si basa su un messaggio di società autenticamente alla ricerca informare circa una disputa legale con il destinatario. Il nome della società è selezionato a caso ed è in sintonia con la linea soggetto.
Attacco Iniziato da un documento MS Office Attached
L'intero processo è stato progettato in modo che il ricevitore cade nella trappola e aprendo il documento Microsoft Word allegato. Il documento contiene una macro dannoso con comandi per il download e l'esecuzione di un contagocce di malware.
Gli utenti devono essere consapevoli che il contagocce del malware è nascosto come un'immagine GIF. I ricercatori non hanno ancora indagato il VBScript (Visual Basic Scripting Edition, un linguaggio di scripting attiva) della macro, ma hanno scoperto che esiste una macro di backup trasmessi dai server in Germania e Russia.
File danneggiato appena rilevabile
i ricercatori di sicurezza dicono che il file dannoso è stato inizialmente rilevato da solo 2 per 56 strumenti anti-malware. Il tasso di rilevamento è migliorata un po 'da allora.
Per quanto riguarda il contagocce imitare un'immagine GIF - è memorizzato in una cartella temporanea ed è riconoscibile per il nome
dfsdfff.exe
Dopo che il file dannoso viene eseguito, un server in Germania viene contattato. I ricercatori ritengono che il carico utile finale è una variante del ben noto Dridex Trojan bancari. Il Trojan infame è anche difficile essere ‘catturati’ da prodotti AV.
Il Dridex Trojan è stato molto attivo durante l'ultimo paio di anni. In ottobre 2014, 93 server per la comunicazione Dridex sono stati registrati, quattro di loro hanno trovato ad essere in Russia.